PC SOFT

FORUMS PROFESSIONNELS
WINDEVWEBDEV et WINDEV Mobile

Accueil → Hors-sujet → Certification NF 525
Certification NF 525
Débuté par Yo!, 14 jan. 2015 14:22 - 324 réponses
Posté le 14 janvier 2015 - 14:22
Bonjour,

Je ne sais pas si Laurent a posté sur un sujet plus global concernant la certification NF525, comme il l'avait dit le mois dernier ... fouillé, rien trouvé.

Je rebondis sur la réponse de Fredo, que je reprends ci-après et je crée un nouveau post plus global ici (déjà posté ailleurs, peut-être pas au bon endroit, sans réponse aucune) :

"ll faut donc :
- Cartographie logicielle (tableau excel qui fait le lien entre l'IHM,
le code, l'exigence 525 et la base de donnée)
- Plan de tests <= hyper important !!! surtout pour tout ce qui concerne
la 525.
- Documentation utilisateur à jour
- Suivi des modifications (le gds ne suffit pas)
- ... pleins d'autre trucs qui garantissent à l'auditeur que tu as un
minimum de suivi sur ton produit."

http://forum.pcsoft.fr/fr-FR/pcsoft.fr.windev/177373-securisation-par-signature-electronique-177404/read.awp…
________________________________________________________________________________

1 - Signature électronique => Il me semble qu'il n'est pas obligatoire de signer chaque ligne mais uniquement l'entête ? La dernière mouture de la certification le prévoit-elle ? Risque de ralentir drastiquement l'encaissement tout ça : j'imagine un ticket comportant une cinquantaine de lignes.

2 - Cartographie au format excel => nous avions commencé sous forme de logigrammes ... ? Obligatoire au format excel donc (?!). Serait-il possible d'avoir un exemple, afin d'avoir une idée des colonnes à placer dans le fichier ? Jusqu'à quel niveau de précision aller ? Toutes les fonctions doivent-elles être listées lors de l'Audit ou il faut axer la carto' sur l'aspect sécurisation spécifié dans la 'norme' ?

3 - Plan de test ... certainement une question idiote. Combien de tests envisager ?

A vous lire.

MERCI !

Yo!
Posté le 14 janvier 2015 - 15:50
Salut,

Réponse ci après


Le 14/01/2015 13:22, Yo! a écrit :
Bonjour,

Je ne sais pas si Laurent a posté sur un sujet plus global concernant la
certification NF525, comme il l'avait dit le mois dernier ... fouillé,
rien trouvé.

Je rebondis sur la réponse de Fredo, que je reprends ci-après et je crée
un nouveau post plus global ici (déjà posté ailleurs, peut-être pas au
bon endroit, sans réponse aucune) :

"ll faut donc :
- Cartographie logicielle (tableau excel qui fait le lien entre l'IHM,
le code, l'exigence 525 et la base de donnée)
- Plan de tests <= hyper important !!! surtout pour tout ce qui concerne
la 525.
- Documentation utilisateur à jour
- Suivi des modifications (le gds ne suffit pas)
- ... pleins d'autre trucs qui garantissent à l'auditeur que tu as un
minimum de suivi sur ton produit."

http://forum.pcsoft.fr/fr-FR/pcsoft.fr.windev/177373-securisation-par-signature-electronique-177404/read.awp…

________________________________________________________________________________


1 - Signature électronique => Il me semble qu'il n'est pas obligatoire
de signer chaque ligne mais uniquement l'entête ? La dernière mouture de
la certification le prévoit-elle ? Risque de ralentir drastiquement
l'encaissement tout ça : j'imagine un ticket comportant une cinquantaine
de lignes.

2 - Cartographie au format excel => nous avions commencé sous forme de
logigrammes ... ? Obligatoire au format excel donc (?!). Serait-il
possible d'avoir un exemple, afin d'avoir une idée des colonnes à placer
dans le fichier ? Jusqu'à quel niveau de précision aller ? Toutes les
fonctions doivent-elles être listées lors de l'Audit ou il faut axer la
carto' sur l'aspect sécurisation spécifié dans la 'norme' ?

3 - Plan de test ... certainement une question idiote. Combien de tests
envisager ?

A vous lire.

MERCI !

Yo!



1. Ce sont effectivement toutes les lignes qu'ils faut signer et pas
uniquement les entêtes. Très sincèrement, nous n'avons pas constaté de
ralentissement particulier lors de l'enregistrement.

2. Si tu trouve un soft capable de faire la cartographie, n'utilise pas
excel, bien évidemment. Seul problème, la carto est un gros travail et
même si je suis prêt à donner les grandes lignes, il ne me sera pas
possible de diffuser un document exemple (pas d'autorisation dans ce
sens de ma hiérarchie)

L'idée n'est pas de détailler jusqu'à la plus petite fonction, mais si
par exemple tu as une fonction : EnregistreFacture, il va falloir lister
tous les endroits de ton soft ou cette fonction est appellée et la lier
à la fois au bouton de ton interface mais aussi à l’exigence nf 525
correspondante (paragraphe de la NF525) si en plus tu peux lié la
fonction utilisateur au paragraphe correspondant de ta doc, tu as tout
gagné !

Dans un premier temps, axe ton travail sur la carto "NF 525" et ensuite
au fur et à mesure tu l'alimente avec d'autres parties de ton soft.

3 - Prioritairement les plans de tests qui impactent la NF 525
(sécurisation, enregistrement, impression, piste d'audit, ...) et
ensuite tu mets en place des plans de tests pour tout ton soft.

Il faut bien comprendre que l'idée générale est de prouver à l'auditeur
que 1) tu respecte la NF 525 et que 2) tu es capable de garantir la
fiabilité et la pérennité de ton soft. Vu que le "certificateur" engage
sa responsabilité en t'accordant le certificat, il a besoin d'être
rassuré sur la qualité de ton travail au sens large.

Bon courage,

Fred.
Posté le 15 janvier 2015 - 15:38
On ne peut plus clair. Bien normal pour la cartographie (cf. exemple).

Merci beaucoup, Fred, pour le temps passé à répondre avec précision à chacune de mes interrogations.

Si j'ai d'autres questions, je retenterai ma chance. ;)

Un énorme travail en perspective.

A bientôt !

Yo!
Posté le 16 janvier 2015 - 17:59
Le 15/01/2015 14:38, Yo! a écrit :
On ne peut plus clair. Bien normal pour la cartographie (cf. exemple).

Merci beaucoup, Fred, pour le temps passé à répondre avec précision à
chacune de mes interrogations.

Si j'ai d'autres questions, je retenterai ma chance. ;)

Un énorme travail en perspective.

A bientôt !

Yo!


Pas de soucis.

Pour ce qui est de la charge de travail, c'est lourd mais pas impossible
et sincèrement, le fait de se structurer pour répondre à la 525 nous as
fait énormément de bien en terme de qualité.

Fred.
Posté le 27 janvier 2015 - 17:54
Entièrement d'accord avec les termes 'structurer' et 'qualité'.

J'aurais aussi pu ajouter 'charge de travail' & 'lourd'.

Encore merci !
Posté le 05 février 2015 - 16:50
En effet j'ai pas encore posté sur ce sujet.
Je vais bientôt y replonger.

Merci

Laurent
Posté le 27 mai 2015 - 10:16
Bonjour,

Je vous invite à consulter le site de l'ACEDISE : www.acedise.fr

Nous sommes à votre disposition.

l'ACEDISE (Association des Constructeurs, Editeurs, Distributeurs, Installateurs de Systèmes d'Encaissement) a participé aux travaux d'élaboration de la marque NF 525.

Jean-Luc BAERT
président
0695891191
jeanluc.baert@acedise.fr
Membre enregistré
3 messages
Posté le 05 février 2016 - 15:58
Bonjour,

Nous avons dû mettre entre parenthèses la certification ... nous y revenons.

Est-il possible d'avoir une réponse aux questions posées ci-après ?

1 - En ce qui concerne la Piste d'Audit et sa sécurisation, il est spécifié en 5.4.1.3 qu'elle ne doit être ni modifiable, ni effaçable 'par une fonction du logiciel. Si l'utilisateur efface le fichier, nous sommes d'accord que nous ne parlons pas d'une fonction du logiciel. Difficile de pouvoir restreindre l'effacement sans passer par de l’administration et encore (puis il peut s'agir du matériel, de l'infrastructure client).

2 - Point 7.1.1.6
=> Nous ne voyons pas à quoi pourrait correspondre le champ 'Type de règlement' exigé ? Il est indiqué entre parenthèse 'transfert' mais sur Kezia II, nous ne gérons pas les transferts tables vers un compte client ou une chambre.

=> La même chose pour le champ Quantité dans la mesure où nous enregistrons une ligne à chaque règlement. Ce champ est également exigé dans les données.

3 - Point 7.2
=> Le numéro de ligne de la table duplicata peut-il correspondre au numéro d'enregistrement géré par HyperFile (WINDEV) ? Nous avons déjà un champ 'Identifiant'.

4 - Point 7.1.4
=> La traçabilité des grands totaux (cf. 7.1.4.2 & 7.1.4.3) est exigée mais il n'existe aucun code s'y apparentant dans la piste d'audit (cf. 7.1.5). L'enregistrement d'un ticket, d'une facture, d'un avoir, d'une annulation par contre-écriture impacte les grands totaux. Nous proposons d'utiliser le code éditeur '999' et d'ajouter les colonnes y faisant référence lorsqu'un enregistrement mouvemente ces totaux. Proposition valable ?

=> Il est mentionné en partie 4 - Définitions - que le 'Grand Total Perpétuel' totalise l'ensemble du CA TTC validé, que les opérations négatives validées (annulations de tickets validés, notes de crédit) sont comptées en positif et incrémentent ce dernier. On parle de valeurs absolues. Les grands totaux (Période et Exercice) se doivent-ils aussi de fonctionner de la même manière (+ et - ) ou non ? Quid des cumuls des Montants TTC ventilés par taux de TVA ... + et - également ?

A vous lire.

MERCI.

Yo!
Membre enregistré
3 messages
Posté le 10 février 2016 - 09:03
###Réponses communiquées par INFOCERT, si ça peut aider ... :

× Point 7.1.1.6

###Exemple table dans Base de données :

ID "Type de règlement" Libellé du mode de règlement
1 "Carte Bancaire" Mastercard
2 "Carte Bancaire" Visa
3 "Ticket Restaurant" Ticket Restaurant
4 "Ticket Restaurant" Chèque Restaurant


× Champ Quantité exigé dans les données :

###Exemple : Si 10 Tickets Restos (1 ligne de règlement « Ticket Resto » avec 10 en quantité)


× Point 7.1.2
Le numéro de ligne peut-il correspondre au numéro d'enregistrement
géré par HyperFile (WINDEV) ?

###Oui, réponse acceptable


× Point 7.1.4
La traçabilité des grands totaux (cf. 7.1.4.2 & 7.1.4.3) est exigée mais ...

###La notion de traçabilité des grands totaux devra être discutée car nous n’en voyons pas
l’intérêt.


× Les grands totaux (Période et Exercice) se doivent-ils aussi de fonctionner de la
même manière (+ et - ) ou non ? Quid des cumuls des Montants TTC ventilés par taux de TVA
... + et - également ?

###OUI
Posté le 11 février 2016 - 18:22
Le 10/02/2016 08:03, Johann K. a écrit :
###Réponses communiquées par INFOCERT, si ça peut aider ... :

× Point 7.1.1.6
###Exemple table dans Base de données :

ID "Type de règlement" Libellé du mode de règlement 1 "Carte
Bancaire" Mastercard 2 "Carte Bancaire" Visa
3 "Ticket Restaurant" Ticket Restaurant 4 "Ticket
Restaurant" Chèque Restaurant

× Champ Quantité exigé dans les données :

###Exemple : Si 10 Tickets Restos (1 ligne de règlement « Ticket Resto »
avec 10 en quantité)

× Point 7.1.2 Le numéro de ligne peut-il correspondre au numéro
d'enregistrement géré par HyperFile (WINDEV) ?

###Oui, réponse acceptable

× Point 7.1.4 La traçabilité des grands totaux (cf. 7.1.4.2 & 7.1.4.3)
est exigée mais ...

###La notion de traçabilité des grands totaux devra être discutée car
nous n’en voyons pas l’intérêt.

× Les grands totaux (Période et Exercice) se doivent-ils aussi de
fonctionner de la même manière (+ et - ) ou non ? Quid des cumuls des
Montants TTC ventilés par taux de TVA ... + et - également ?
###OUI


Désolé, j'étais en déplacement et je ne rentre qu'aujourd'hui.

Au vu des questions (et des réponses) vous avez bien avancé :)

Pour l'effacement par l'utilisateur de la piste d'audit, si cela ne peut
être restreint, cela doit être détecté et tracé.

Bon courage !

Fred.
Membre enregistré
3 messages
Posté le 22 février 2016 - 09:07
Merci pour la réponse concernant la piste d'audit.

Excellente journée Fred.
Membre enregistré
204 messages
Popularité : +1 (1 vote)
Posté le 29 février 2016 - 14:12
Bonjour

Par rapport a la loi de finance 2016, le site du service public a fait un article
https://www.service-public.fr/professionnels-entreprises/actualites/A10279

Dans cet article nous trouvons :
À partir du 1er janvier 2018, devient obligatoire l'utilisation d'un logiciel de gestion ou d'un système de caisse satisfaisant aux conditions d'inaltérabilité, de sécurisation, de conservation et d'archivage des données, attestées par un certificat délivré par un organisme accrédité ou par une attestation individuelle délivrée par l'éditeur.

Nous avons demande au site du service public, ce que voulez dire "par une attestation individuelle délivrée par l'éditeur." et que devait contenir cette attestation, reponse du site

Un texte réglementaire (décret ou arrêté) doit venir fixer ce modèle d'attestation. Il n'est pas encore paru au JO. L'obligation ne doit entrer en vigueur qu'à partir du 1er janvier 2018. Dès que le modèle d'attestation sera disponible en ligne, nous le référencerons sur service-public.fr.

Est ce quelqu'un a entendu parler de cette attestation ?
La question que l'on se pose, doit on obligatoirement passer par la norme NF 525 ?

Merci
Olivier
Posté le 03 mars 2016 - 15:18
Est ce quelqu'un a entendu parler de cette attestation ?

une attestation signé par l’éditeur engage celui-ci a ce que son logiciel soit conforme a l'article "3° bis du I de l'article 286"
c'est a dire invulnérabilité conservation securisation et archivage des données

C'est vague et précis a la fois . Attention je parle de l'attestation et non pas de la certification. Si le but est identique c'est a dire rassurer le client qui utilise un logiciel d'encaissement la démarche est différentes.

La question que l'on se pose, doit on obligatoirement passer par la norme NF 525 ?

Cela n'existe pas la norme NF 525 ... c'est une certification

Si un client utilise un système assujetti a la TVA , il doit a partir du 01/01/2018 fournir une attestation de conformité à l'article 88 de la LF 2016 ou un certificat NF 525. sinon il s'expose à 7500€ d'amendes par système. Le contrôleur connaîtra l'éditeur. Ensuite l'éditeur devra fournir la liste de ses clients qui seront eux mêmes contrôler. c'est légal.
cela revient a dire que même si le client ne se fait pas contrôler directement il peut par le reseau client de son éditeur être rattrapé par la patrouille.


Aujourd'hui un client qui achète un produit sans ce renseigner sur la volonté de l’éditeur a aller dans le sens de l'article 88 est pour moi, fou.
J'ai dis "renseigner" j'ai pas dis que l'éditeur aujourd'hui (Mars 2016) forcement certifié...

D'ici quelques semaines , il ne sera pas possible de vendre des logiciels qui n'ont pas entrepris une démarche sérieuse vers l'article 88.
Membre enregistré
204 messages
Popularité : +1 (1 vote)
Posté le 03 mars 2016 - 16:07
"La question que l'on se pose, doit on obligatoirement passer par la norme NF 525 ?"
(évidement si on répond au "c'est a dire invulnérabilité conservation sécurisation et archivage des données")

Si je comprends bien l'article du Service Public , je dirais que non , mais le probleme (pour l'instant ;o)) ) c'est que nous n'avons aucune nouvelle de cette fameuse attestation.
Posté le 03 mars 2016 - 17:11
Le 03/03/2016 15:07, Olivier PERRIN a écrit :
"La question que l'on se pose, doit on obligatoirement passer par la
norme NF 525 ?"
(évidement si on répond au "c'est a dire invulnérabilité conservation
sécurisation et archivage des données")

Si je comprends bien l'article du Service Public , je dirais que non ,
mais le probleme (pour l'instant ;o)) ) c'est que nous n'avons aucune
nouvelle de cette fameuse attestation.


Bonjour à tous,

A mon avis (je ne suis pas juriste) C'est juste une question de
responsabilités. Il y a les deux cas de figures:

1. Je suis éditeur et je suis certifié NF525, c'est un organisme
extérieur qui est venu contrôler mon travail et qui certifie que je
respecte les règles. En cas de problème (bug ou autre, on est pas
parfait) c'est cet organisme qui va vérifier que l'éditeur est de bonne
foi. Par rapport au fisc on est de bon élèves

2. Je suis éditeur et j'atteste que mon logiciel est conforme, dans le
même cas de figure (bug ou autre) , il n'y a pas de tiers capable de
dire "ce n'est pas volontaire de la part de l'éditeur". A l'éditeur de
se débrouiller pour prouver sa bonne foi et on ne peut pas dire que dans
l'encaissement on ai une bonne réputation.

j'ai suivi la NF525 depuis ses prémisses et malgré cela il y a pas mal
de points sur lesquels on était passé à coté. On pensait être pas mal et
l'audit à blanc que nous avons passé nous a vite fait déchanter et
passer par l'attestation reviendra à dire "Je suis conforme à 100% à la
NF525, je l'ai vérifié moi même".

Fred.
Posté le 13 mars 2016 - 13:40
Il faut bien faire la distinction entre la NF525 et les exigences de la loi.

La certification NF525 est valable un an sous conditions , voir
http://www.jdclr.com/files/JDC-LANGUEDOC-NF525-LEO2-Certificat.pdf

Elle a des exigences, qui ne seront publiques (consultable gratuitement mais uniquement en ligne sur le site AFNOR) QUE si la loi l'impose comme référence, auquel cas elle servira de référence mais ne rendra pas pour autant la certification obligatoire.

De toute façon, tant que l'attestation de l'éditeur ne sera pas définie, cette loi sera inapplicable et la certification ne pourra pas être exigée.
Posté le 14 mars 2016 - 11:12
Le 13/03/2016 12:40, Execute a écrit :
Il faut bien faire la distinction entre la NF525 et les exigences de la
loi.

La certification NF525 est valable un an sous conditions , voir



Elle a des exigences, qui ne seront publiques (consultable gratuitement
mais uniquement en ligne sur le site AFNOR) QUE si la loi l'impose comme
référence, auquel cas elle servira de référence mais ne rendra pas pour
autant la certification obligatoire.

De toute façon, tant que l'attestation de l'éditeur ne sera pas définie,
cette loi sera inapplicable et la certification ne pourra pas être exigée.



C'est bien ce qu'on essaye de faire comprendre, la NF525 est un
référentiel de ce que demande les impôts (normal, ils ont participé à
l'élaboration)

Tu as la NF, tu es dans les clous et tu colle à la demande, tu ne l'as
pas, à toi d'être sur que tu correspond à la demande et surtout à toi de
le prouver.

Mais il n'est écrit nulle part que la NF est obligatoire.

Fred
Membre enregistré
204 messages
Popularité : +1 (1 vote)
Posté le 14 mars 2016 - 16:58
Moi ce qui me parait surprenant, c'est quand on pose des questions a la DGFIP

"Cette nouvelle disposition de la loi de finances pour 2016 est très récente et doit faire l'objet de la part de nos services à BERCY d'un Bulletin Officiel des Impôts ( BOI) définissant de manière précise le type de logiciel concerné ainsi que les normes attendus .
A ce jour , ce BOI n'est pas encore paru"

Du cote de la DGFIP rien n'est donc encore officiel et les normes pas encore validées.

Alors sur quelle base AFNOR a crée la norme NF525 ?
Posté le 15 mars 2016 - 16:24
Le 14/03/2016 15:58, Olivier PERRIN a écrit :
Moi ce qui me parait surprenant, c'est quand on pose des questions a la
DGFIP
"Cette nouvelle disposition de la loi de finances pour 2016 est très
récente et doit faire l'objet de la part de nos services à BERCY d'un
Bulletin Officiel des Impôts ( BOI) définissant de manière précise le
type de logiciel concerné ainsi que les normes attendus .
A ce jour , ce BOI n'est pas encore paru"

Du cote de la DGFIP rien n'est donc encore officiel et les normes pas
encore validées.

Alors sur quelle base AFNOR a crée la norme NF525 ?


Pour la NF525, la base de travail a été la certif des logiciels
comptables. Ce sont ensuite réunis les gens d'infocert qui avaient déjà
travaillé sur le BOI de 2006 qui concernait l'encaissement, des éditeurs
de logiciels (ceux qui ont fait l'effort de participer), la DGFIP et
différents intervenants.

Le principe était de trouver un moyen de rendre les "tricheries"
impossible ( le plus impossible possible) en sécurisant les données
(signature numérique) et en identifiant les fonctionnalités à risques
(mode école non tracé, éditions non numérotés, effacement non
répertoriées, ...)

Au final des propositions ont été faites par les divers participants,
elles ont étés validées par la DGFIP et formalisées par la NF525.

Fin de l'histoire.

Fred.
Posté le 06 avril 2016 - 17:19
La loi a été voté et parue au J.O 2016/01
vous pouvez consulter les sites :
acedise.fr
infocert.fr
et aussi, la page facebook "je suis NF 525" où vous trouverez des informations, conseils.
bien cordialement

Reine-Marie Noblecourt
Posté le 29 novembre 2016 - 11:15
Bonjour,

je me lance moi aussi dans la certification de mon logiciel d'encaissement et ce sujet m'a déjà bien aidé ! Merci.

Mon logiciel n'est destiné qu'à nos propres magasins et non vendu à des clients.
Je sais que je suis aussi concerné par cette loi, mais je pense qu'il y a des différences avec un éditeur qui vends son outil d'encaissement, connaissez-vous lesquels ?

Concernant la signature numérique, est-ce qu'un certificat auto-signé (avec openSSL) est suffisant ou faut-il en acheter un ?
J'ai fait quelques tests en générant un certificat OpenSSL auto signé en RSA 2048 bits.
Je signe mes données avec et je les encode en base 64 (comme le veut la NF525).
Je me retrouve avec des checksums d'environ 3700 caractères !

Cela me parait énorme : la taille de ma base de données explose !
Je base d'une petite base de données de 16 mo à une base de 760 mo !
L'autre algo de cryptage autorisé est peut être moins gourmand (Ellyptic Curve) ?
Mais je rate peut être quelque chose ?

Merci pour vos réponses.

Note : J'ai déjà acheté les règles NF525 et j'ai prévu de participer à une journée de formation.

Michaël.
Posté le 29 novembre 2016 - 11:17
Bonjour,

je me lance moi aussi dans la certification de mon logiciel d'encaissement et ce sujet m'a déjà bien aidé ! Merci.

Mon logiciel n'est destiné qu'à nos propres magasins et non vendu à des clients.
Je sais que je suis aussi concerné par cette loi, mais je pense qu'il y a des différences avec un éditeur qui vends son outil d'encaissement, connaissez-vous lesquels ?

Concernant la signature numérique, est-ce qu'un certificat auto-signé (avec openSSL) est suffisant ou faut-il en acheter un ?
J'ai fait quelques tests en générant un certificat OpenSSL auto signé en RSA 2048 bits.
Je signe mes données avec et je les encode en base 64 (comme le veut la NF525).
Je me retrouve avec des chaines signés d'environ 3700 caractères !

Cela me parait énorme : la taille de ma base de données serait multipliée par 40.
L'autre algo de cryptage autorisé est peut être moins gourmand (Ellyptic Curve) ?

Merci pour vos réponses.

Note : J'ai déjà acheté les règles NF525 et j'ai prévu de participer à une journée de formation.

Michaël.
Posté le 29 novembre 2016 - 13:35
Bonjour

tu es dans un cas très intéressant... Comme tu as les sources de ton
soft, que tu connais les clé d'encryption et tout ce qui concerne la
sécurité, tu peux sans problème trafiquer tes fichiers et recalculer les
checksums pour l'utilisation dans ta propre société...

NF525 n'apporte donc aucune sécurité dans ton cas.

Normalement, le gars qui a les clés du coffre n'est pas aussi le gars
susceptible d'essayer de voler son contenu...


Donc, sauf si NF525 parle spécifiquement de ce cas, je me demande
jusqu'à quel point ca vaut la peine de l'implémenter, du coup.


Cordialement


--
Fabrice Harari
Consultant WinDev, WebDev et WinDev Mobile International

A votre disposition : WXShowroom.com, WXReplication (open source) et
maintenant WXEDM (open source)

Plus d'information sur http://fabriceharari.com


Le 11/29/2016 à 5:17 AM, "ÿÿÿÿÿÿÿ" a écrit :
Bonjour,

je me lance moi aussi dans la certification de mon logiciel
d'encaissement et ce sujet m'a déjà bien aidé ! Merci.

Mon logiciel n'est destiné qu'à nos propres magasins et non vendu à des
clients.
Je sais que je suis aussi concerné par cette loi, mais je pense qu'il y
a des différences avec un éditeur qui vends son outil d'encaissement,
connaissez-vous lesquels ?

Concernant la signature numérique, est-ce qu'un certificat auto-signé
(avec openSSL) est suffisant ou faut-il en acheter un ?
J'ai fait quelques tests en générant un certificat OpenSSL auto signé en
RSA 2048 bits.
Je signe mes données avec et je les encode en base 64 (comme le veut la
NF525).
Je me retrouve avec des chaines signés d'environ 3700 caractères !

Cela me parait énorme : la taille de ma base de données serait
multipliée par 40.
L'autre algo de cryptage autorisé est peut être moins gourmand (Ellyptic
Curve) ?

Merci pour vos réponses.

Note : J'ai déjà acheté les règles NF525 et j'ai prévu de participer à
une journée de formation.

Michaël.
Posté le 29 novembre 2016 - 13:56
Merci pour ta réponse.

En effet, c'est la question que je me posais, mais je ne peux pas me permettre de m'auto-certifier.
Aujourd'hui mon soft ne répond absolument pas à ces règles.

Je découvre le principe de signature numérique, ainsi que toutes les règles à mettre en place.
Donc je veux être en accord avec la loi et ne pas risquer une amende lors d'une visite dans un de nos magasins parce que j'aurais oublié une notion importante...
Posté le 30 novembre 2016 - 16:59
En effet, Fabrice a raison.
Autrement dit, on tourne en rond, le serpent se mord la queue.

De nombreuses sociétés, les franchises en autres, sont sur des logiciels maison.

De toute façon cette norme est une aberration totale.
Comme d'habitude, pondue par des théoriciens peu rompus au contraintes du développement logiciel.

Quand à faire payer le concepteur d'une application pour qu'il est accès aux règles, alors là !
Membre enregistré
2 566 messages
Popularité : +222 (260 votes)
Posté le 01 décembre 2016 - 07:52
C'est le grand principe de ceux qui pondent des normes, ils ne sont déjà pas forcément du privé, c'est voté par un petit groupe qui prend des décisions en se disant que ce sera mieux pour le peuple.

Ensuite ben faut se rembourser de toutes ces heures que l'on a passé au restau à discuter de ça alors on fait payer. Et si tu ne payes pas ben tu n'as plus le droit de travailler.

Quel beau système...:D

--
Cordialement,

Philippe SAINT-BERTIN
Géode Informatique
Posté le 01 décembre 2016 - 08:15
Merci pour vos réponses.

Mais si nous décidons de ne pas l'implémenter, et que nous avons un contrôle, nous devrons nous mettre en règle (c'est à dire conforme à la NF525) dans les 60 jours, ce qui est impossible étant donné les nombreuses règles complexes pour un développeur seul comme moi... Je ne suis même pas sûr d'être capable de le faire en 1 an.
Que feriez-vous à ma place ?
Membre enregistré
2 566 messages
Popularité : +222 (260 votes)
Posté le 01 décembre 2016 - 10:10
Tu n'as aucune autre possibilité que de la faire ou alors attendre un contrôle au choix...

--
Cordialement,

Philippe SAINT-BERTIN
Géode Informatique
Posté le 01 décembre 2016 - 11:33
Ou bien abandonner ce programme, et en prendre un qui est certifié chez un éditeur...
Ce qui serait peut être la décision la plus sage pour l'avenir...
Je me laisse jusqu'à la fin de l'année pour me décider.
Merci.
Membre enregistré
204 messages
Popularité : +1 (1 vote)
Posté le 01 décembre 2016 - 12:03
@Michael , tu peux aussi voir avec la DGFIP , ce qu'il en pense
Posté le 01 décembre 2016 - 12:13
ou alors...

Plusieurs développeurs se mettent d'accord pour développer ensemble un
module séparé qui lui sera certifié...

ce serait :
- une boite noire
- un exe séparé (ou un assemblage .net, fait en windev)
- qui ne ferait QUE fournir les fonctions d'écriture et de lecture dans
un fichier facture/caisse
- et qui contiendrait tout le bordel de sécurité
- de windev, on ne ferait que ajouter des factures, ou lire des
factures, avec des fonctions très précises...

De cette manière, chacun pourrait faire sa sauce au niveau saisie, avec
toutes les options nécessaires au métier, et quand ca se réduit à
enregistrer des lignes d'article, hop, on transfère au module certifié

Bonne idée ? Mauvaise idée ?

Cordialement


--
Fabrice Harari
Consultant WinDev, WebDev et WinDev Mobile International

A votre disposition : WXShowroom.com, WXReplication (open source) et
maintenant WXEDM (open source)

Plus d'information sur http://fabriceharari.com


Le 12/1/2016 à 5:33 AM, "ÿÿÿÿÿÿÿ" a écrit :
Ou bien abandonner ce programme, et en prendre un qui est certifié chez
un éditeur...
Ce qui serait peut être la décision la plus sage pour l'avenir...
Je me laisse jusqu'à la fin de l'année pour me décider.
Merci.
Posté le 01 décembre 2016 - 14:03
Le 01/12/2016 à 06:52, Philippe SB a écrit :
C'est le grand principe de ceux qui pondent des normes, ils ne sont déjà
pas forcément du privé, c'est voté par un petit groupe qui prend des
décisions en se disant que ce sera mieux pour le peuple.

Ensuite ben faut se rembourser de toutes ces heures que l'on a passé au
restau à discuter de ça alors on fait payer. Et si tu ne payes pas ben
tu n'as plus le droit de travailler.
Quel beau système...:D

--
Cordialement,

Philippe SAINT-BERTIN
Géode Informatique


Pas trop d'accord, j'ai pu participer à l'élaboration de la NF et on est
pas des "gros" ni des énarques. Par contre, sur la centaine (ou plus)
d'éditeur de logiciels, on devait être en effet 4 ou 5 boites de dév
présente. Si on y est allé c'est justement pour pas qu'on nous impose
n'importe quoi et les discussions ont effectivement été rudes.

L'objectif n'a jamais été d'emmerder le monde mais de faire en sorte que
la NF nous "protège" en garantissant qu'on avait fait le nécessaire pour
que notre soft ne soit pas détourné de son usage.

Mais bon ... à l'époque, lorsqu'on évoquait l'idée d'une norme, on se
foutait de notre gueule ... rira bien comme disait l'autre.

Reste l'attestation pour ceux qui sont sur d'eux.

Fred.
Membre enregistré
2 566 messages
Popularité : +222 (260 votes)
Posté le 01 décembre 2016 - 15:08
Reste que le coût n'a pas lieu d'être. Je ne vois pas pourquoi on nous obligerait à payer pour respecter une norme qu'on nous oblige à respecter. Dans tout ça ce sont toujours les plus petits qui trinquent.

Perso je ne développe pas (enfin plus) de logiciel de gestion donc ça ne me touche pas pour le moment, mais je reste solidaire de mes compagnons et je dis que si c'est une obligation alors libérons la norme dans le domaine public alors tout le monde aura le droit d'y accéder et de travailler dessus et ceux qui ne se sentent pas les épaules de mettre à jour leur logiciel pourront dans ce cas choisir un autre chemin.

Imagine que demain tu veuilles intégrer un module de prélèvement SEPA et que l'on te dise: "D'accord mais avant toute chose c'est 2 000 €". Eh bien tu réfléchirais à 2 fois avant de te lancer dans un module dont tu ne sais pas si tu iras jusqu'au bout car peut-être trop pénalisant en temps par rapport au bénéfice que tu en retirerais...

Je ne pense pas que cette norme soit une aberration mais que la manière de la faire appliquer est complètement inéquitable. Pour une entreprise comme Sage, le coût ne représentera pas la même chose que pour une petite boîte ou un auto-entrepreneur qui peine déjà à sortir la tête de l'eau vu le poids des charges qui pèsent sur lui.

Voilà réellement mon point de vue là-dessus.

--
Cordialement,

Philippe SAINT-BERTIN
Géode Informatique
Message modifié, 01 décembre 2016 - 15:11
Posté le 02 décembre 2016 - 10:43
Le 01/12/2016 à 14:08, Philippe SB a écrit :
Reste que le coût n'a pas lieu d'être. Je ne vois pas pourquoi on nous
obligerait à payer pour respecter une norme qu'on nous oblige à
respecter. Dans tout ça ce sont toujours les plus petits qui trinquent.

Perso je ne développe pas (enfin plus) de logiciel de gestion donc ça ne
me touche pas pour le moment, mais je reste solidaire de mes compagnons
et je dis que si c'est une obligation alors libérons la norme dans le
domaine public alors tout le monde aura le droit d'y accéder et de
travailler dessus et ceux qui ne se sentent pas les épaules de mettre à
jour leur logiciel pourront dans ce cas choisir un autre chemin.

Imagine que demain tu veuilles intégrer un module de prélèvement SEPA et
que l'on te dise: "D'accord mais avant toute chose c'est 2 000 €". Eh
bien tu réfléchirais à 2 fois avant de te lancer dans un module dont tu
ne sais pas si tu iras jusqu'au bout car peut-être trop pénalisant en
temps par rapport au bénéfice que tu en retirerais...

Je ne pense pas que cette norme soit une aberration mais que la manière
de la faire appliquer est complètement inéquitable. Pour une entreprise
comme Sage, le coût ne représentera pas la même chose que pour une
petite boîte ou un auto-entrepreneur qui peine déjà à sortir la tête de
l'eau vu le poids des charges qui pèsent sur lui.

Voilà réellement mon point de vue là-dessus.

--
Cordialement,

Philippe SAINT-BERTIN
Géode Informatique


C'est pourquoi la certification n'est pas obligatoire et que tu as le
choix de l'attestation.

Pour la connexion avec les balances c'est même pire, les protocoles sont
libres, par contre pour pouvoir connecter la balance à ton soft tu dois
le faire certifier auprès du LNE (ou autre organisme de certification)
et tu claque plusieurs milliers d'euro. Et à chaque modification de la
partie certifié tu dois recommencer.

Fred.
Posté le 12 décembre 2016 - 09:54
Bonjour,

merci à tous pour vos différents points vues très intéressant.
Nous allons donc nous lancer dans cette certification...

Pour parler un peu plus technique, quelqu'un pourrait m'éclairer sur l'autre partie de ma question initiale :

Concernant la signature numérique, est-ce qu'un certificat auto-signé (avec openSSL) est suffisant ou faut-il en acheter un ?
J'ai fait quelques tests en générant un certificat OpenSSL auto signé en RSA 2048 bits.
Je signe mes données avec et je les encode en base 64 (comme le veut la NF525) et je me retrouve avec des chaines signés d'environ 3700 caractères !

Ce checksum doit donc être appliqué aux entêtes de ticket, aux lignes de ticket ainsi qu'aux lignes de paiement (je n'oublie rien ?).
Cela me parait énorme : la taille de ma base de données serait multipliée par 40.
L'autre algo de cryptage autorisé est peut être moins gourmand (Ellyptic Curve) ?
Mais pour ce dernier j'ai passé plusieurs heures à essayer de générer un certificat mais ça ne fonctionne pas.

Merci pour votre aide.

Michaël.
Posté le 13 décembre 2016 - 17:11
Le 12/12/2016 à 08:54, "ÿÿÿÿÿÿÿ" a écrit :
Bonjour,

merci à tous pour vos différents points vues très intéressant.
Nous allons donc nous lancer dans cette certification...

Pour parler un peu plus technique, quelqu'un pourrait m'éclairer sur
l'autre partie de ma question initiale :

Concernant la signature numérique, est-ce qu'un certificat auto-signé
(avec openSSL) est suffisant ou faut-il en acheter un ?
J'ai fait quelques tests en générant un certificat OpenSSL auto signé en
RSA 2048 bits.
Je signe mes données avec et je les encode en base 64 (comme le veut la
NF525) et je me retrouve avec des chaines signés d'environ 3700
caractères !

Ce checksum doit donc être appliqué aux entêtes de ticket, aux lignes de
ticket ainsi qu'aux lignes de paiement (je n'oublie rien ?).
Cela me parait énorme : la taille de ma base de données serait
multipliée par 40.
L'autre algo de cryptage autorisé est peut être moins gourmand (Ellyptic
Curve) ? Mais pour ce dernier j'ai passé plusieurs heures à essayer de
générer un certificat mais ça ne fonctionne pas.

Merci pour votre aide.

Michaël.



Salut,

Nous on est parti sur un duo clé publique / clé privé généré en interne,
par contre notre signature ne fait pas 3700 caractères mais moins de 60.

Tu es sur que tu n'as pas fait un cryptage au lieu d'une signature ?

Fred.
Posté le 14 décembre 2016 - 08:52
Salut Fred,

ce n'est pas la signature qui fait 3700 caractères mais les données signées qui sont sur chaque ligne.

Quand je génère ma clé avec OpenSSL je choisis de crypter en RSA 2048 bits comme indiqué dans les règles de la NF525.
Je fais un certificat Windows avec cette clé, et je l'utilise dans Windev pour signer mes lignes.

J'ai mal compris ?
Posté le 14 décembre 2016 - 16:52
Le 14/12/2016 à 07:52, "ÿÿÿÿÿÿÿ" a écrit :
Salut Fred,

ce n'est pas la signature qui fait 3700 caractères mais les données
signées qui sont sur chaque ligne.

Quand je génère ma clé avec OpenSSL je choisis de crypter en RSA 2048
bits comme indiqué dans les règles de la NF525.
Je fais un certificat Windows avec cette clé, et je l'utilise dans
Windev pour signer mes lignes.

J'ai mal compris ?


Tu dis bien que tu choisis de crypter en RSA et pas de signer. Le
cryptage indique que tu dois pouvoir décrypter et retrouver les données
d'origine, ce qui n'est pas le cas d'une signature (qui correspond à un
checksum)

Bon dev,

Fred.
Posté le 14 décembre 2016 - 19:20
ou plutot à un Hash

Le 12/14/2016 à 10:52 AM, Fredo a écrit :
Le 14/12/2016 à 07:52, "ÿÿÿÿÿÿÿ" a écrit :
Salut Fred,

ce n'est pas la signature qui fait 3700 caractères mais les données
signées qui sont sur chaque ligne.

Quand je génère ma clé avec OpenSSL je choisis de crypter en RSA 2048
bits comme indiqué dans les règles de la NF525.
Je fais un certificat Windows avec cette clé, et je l'utilise dans
Windev pour signer mes lignes.

J'ai mal compris ?

Tu dis bien que tu choisis de crypter en RSA et pas de signer. Le
cryptage indique que tu dois pouvoir décrypter et retrouver les données
d'origine, ce qui n'est pas le cas d'une signature (qui correspond à un
checksum)

Bon dev,

Fred.
Posté le 15 décembre 2016 - 09:53
Bonjour,

J'ai également le même problème, le cryptage de ma chaine est limité à
environ 200 caractères avec le RSA, et ma chaine cryptée me renvoie une
chaine de 1050 caractères. Et comme on doit chainer les enregistrements
avec la précédente chaine cryptée, j'ai un big problème.
Comment peut on faire ?

Merci



Fredo vient de nous annoncer :
Le 14/12/2016 à 07:52, "ÿÿÿÿÿÿÿ" a écrit :
Salut Fred,

ce n'est pas la signature qui fait 3700 caractères mais les données
signées qui sont sur chaque ligne.

Quand je génère ma clé avec OpenSSL je choisis de crypter en RSA 2048
bits comme indiqué dans les règles de la NF525.
Je fais un certificat Windows avec cette clé, et je l'utilise dans
Windev pour signer mes lignes.

J'ai mal compris ?

Tu dis bien que tu choisis de crypter en RSA et pas de signer. Le cryptage
indique que tu dois pouvoir décrypter et retrouver les données d'origine, ce
qui n'est pas le cas d'une signature (qui correspond à un checksum)

Bon dev,

Fred.
Posté le 15 décembre 2016 - 11:17
J'ai du mal à comprendre...

Selon la NF525 :
"Le système doit proposer l'apposition d'une signature électronique asymétrique conforme aux recommandations administratives pour les fichiers (au 1er janvier 2014, RSA 2048 bits ou Elliptic Curve (ECDSA) 224 bits au minimum"

Je comprends donc qu'il faut signer ET CRYPTER avec l'un des deux algorithmes.
Non ?

D'ailleurs, je ne pensais pas qu'on pouvait créer un certificat auto-signé, permettant de signer sans crypter ?
Quand on le fait sous OpenSSL, on choisit les commandes pour générer une clé RSA ("genrsa") ou bien une clé ECDSA ("ecparam"), mais c'est tout.

J'espère me faire comprendre.
Merci.
Posté le 26 décembre 2016 - 14:12
Mickael, as tu trouvé réponse a ton interrogation, vis a vis d'un soft certifié chez un autre éditeur ?
Posté le 04 janvier 2017 - 10:29
Bonjour,

non, nous n'avons pas cherché d'éditeur.
Nous nous lançons dans la certification de notre propre logiciel.
Posté le 04 janvier 2017 - 18:07
Le 04/01/2017 à 09:29, "ÿÿÿÿÿÿÿ" a écrit :
Bonjour,

non, nous n'avons pas cherché d'éditeur.
Nous nous lançons dans la certification de notre propre logiciel.


Si vous avez besoin, n'hésitez pas à poser vos questions ici, on est
plusieurs à être passé à la moulinette de la NF, ça peut aider.

Bon courage,

Fred.
Membre enregistré
18 messages
Posté le 10 janvier 2017 - 08:51
Bonjour à tous

Un de mes clients m'a demandé l'autre jour si mon logiciel était conforme NF525. Jusque là je ne connaissais pas cette certification, donc je me renseigne, et je tombe sur ce forum avec vos échanges très intéressants.
Je vois à peu près ce que je dois modifier dans mon soft pour me rapprocher des exigences de la NF525. je n'ai pas encore acheté les règles NF525, ça ne va pas tarder.
Juste une petit question si ça ne vous ennuie pas. Ça parle partout de "piste d'audit", mais je n'ai trouvé nulle part de description de ce que c'est que cette piste. Tel que le comprends (mais je suis peut-être complètement à côté) ça serait un espèce de log file avec signature pour pouvoir entre autres détecter des modifications "frauduleuses" des données dans la base.
Est-ce qu'il y a un format imposé ? Si oui, est-ce que je le trouverai en achetant les règles NF525?

Merci d'avance
Posté le 10 janvier 2017 - 10:32
Le 10/01/2017 à 07:51, ANDRE THEVENIN a écrit :
Bonjour à tous

Un de mes clients m'a demandé l'autre jour si mon logiciel était
conforme NF525. Jusque là je ne connaissais pas cette certification,
donc je me renseigne, et je tombe sur ce forum avec vos échanges très
intéressants.
Je vois à peu près ce que je dois modifier dans mon soft pour me
rapprocher des exigences de la NF525. je n'ai pas encore acheté les
règles NF525, ça ne va pas tarder.
Juste une petit question si ça ne vous ennuie pas. Ça parle partout de
"piste d'audit", mais je n'ai trouvé nulle part de description de ce que
c'est que cette piste. Tel que le comprends (mais je suis peut-être
complètement à côté) ça serait un espèce de log file avec signature pour
pouvoir entre autres détecter des modifications "frauduleuses" des
données dans la base.
Est-ce qu'il y a un format imposé ? Si oui, est-ce que je le trouverai
en achetant les règles NF525?

Merci d'avance


Bonjour,

Pour la piste d'audit, c'est un journal qui doit tracé certains
évènements spécifiques avec une codification imposée (me rappelle plus
le détail des codes) de mémoire, tout ce que tu veux tracer en plus de
ce qui est imposé, tu peux le faire en utilisant le code "fonction éditeur".

Globalement c'est une date, un code, un texte descriptif et une
signature lié avec la ligne précédente. Les rubriques sont effectivement
imposée (à minima) et le format est décrit dans la 525.

Bon dev,

Fred.
Posté le 10 janvier 2017 - 10:49
Bonjour Fred,

je suis toujours bloqué sur la signature numérique.

J'arrive à générer mes certificats en RSA 2048 en utilisant cette méthode :
http://gghe-informatique.blogspot.fr/2012/01/creer-un-certificat-numerique-ssl-auto.html
Je charge mon certificat à l'aide des commandes de Windev, et je signe mes données.
Le soucis vient de la taille de la clé privé (environ 1600 caractères) et donc de la signature.

J'essaye donc de faire la même chose en ECDSA 256 avec la même méthode.
J'adapte simplement les commandes de type "genrsa" avec des commandes de type "ecparam".
Au niveau taille de la clé privée, c'est beaucoup plus correct (environ 166 caractères).
Je charge mon certificat dans Windev, sauf que là, Windev m'indique que ce certificat ne peux pas signer des données. (propriété "..ValidePourSignature" à FAUX).
J'ai donc contacter le support qui va voir avec l'équipe développement.

Je suis preneur de tout idée...

Michaël.
Membre enregistré
2 566 messages
Popularité : +222 (260 votes)
Posté le 10 janvier 2017 - 11:12
J'ai du mal à comprendre, on n'est pas censé faire une empreinte des lignes et les stocker en base 64 ?

--
Cordialement,

Philippe SAINT-BERTIN
Géode Informatique
Posté le 10 janvier 2017 - 14:47
Le 10/01/2017 à 10:12, Philippe SB a écrit :
J'ai du mal à comprendre, on n'est pas censé faire une empreinte des
lignes et les stocker en base 64 ?

--
Cordialement,

Philippe SAINT-BERTIN
Géode Informatique


Les deux mon capitaine. Les lignes de ventes doivent être signées entre
elles ET on doit gérer une piste d'audit qui reprends des évènements du
style "démarrage du logiciel", "activation/désactivation" du mon
training (s'il existe) etc ...

Fred
Posté le 10 janvier 2017 - 17:20
Le 10/01/2017 à 09:49, "ÿÿÿÿÿÿÿ" a écrit :
Bonjour Fred,

je suis toujours bloqué sur la signature numérique.

J'arrive à générer mes certificats en RSA 2048 en utilisant cette méthode :
http://gghe-informatique.blogspot.fr/2012/01/creer-un-certificat-numerique-ssl-auto.html

Je charge mon certificat à l'aide des commandes de Windev, et je signe
mes données.
Le soucis vient de la taille de la clé privé (environ 1600 caractères)
et donc de la signature.

J'essaye donc de faire la même chose en ECDSA 256 avec la même méthode.
J'adapte simplement les commandes de type "genrsa" avec des commandes de
type "ecparam".
Au niveau taille de la clé privée, c'est beaucoup plus correct (environ
166 caractères).
Je charge mon certificat dans Windev, sauf que là, Windev m'indique que
ce certificat ne peux pas signer des données. (propriété
"..ValidePourSignature" à FAUX).
J'ai donc contacter le support qui va voir avec l'équipe développement.

Je suis preneur de tout idée...

Michaël.


Salut,

Nous on est passé par une dll "maison" en C sans passer par un
certificat, donc la je sèche.

Par contre, la taille de la clé ... au pire on s'en fout, tu ne la
stocke pas dans tes fichiers, c'est uniquement la signature de tes
données que tu stocke (environ 60 caractères de mémoire)

Désolé de ne pas pouvoir t'aider plus sur le coup,

Fred.
Posté le 11 janvier 2017 - 10:35
Ok donc tu as créé une clé privée et une clé publique avec OpenSSL j'imagine ?
Si oui tu as du utiliser RSA ou ECDSA ?
Si non, comment générer ces clés ?

De mon côté, je ne saurais pas développer un algo pour signer mes données avec la clé privée (encore moins en C).
C'est pour ça que je comptais sur les fonctions "CertificatSigneChaine()" de Windev.
J'attends toujours leurs réponse.
Posté le 11 janvier 2017 - 13:58
Le 11/01/2017 à 09:35, "ÿÿÿÿÿÿÿ" a écrit :
Ok donc tu as créé une clé privée et une clé publique avec OpenSSL
j'imagine ?
Si oui tu as du utiliser RSA ou ECDSA ?
Si non, comment générer ces clés ?

De mon côté, je ne saurais pas développer un algo pour signer mes
données avec la clé privée (encore moins en C).
C'est pour ça que je comptais sur les fonctions
"CertificatSigneChaine()" de Windev.
J'attends toujours leurs réponse.


Salut,

On a effectivement généré un du privé/public avec OpenSSL. Concernant
l'ago, ce n'est pas moi qui m'en suit occupé et pour éviter toute fuite
en interne (on ne sait jamais) cette information n'a pas été diffusée,
donc c'est forcément un RSA ou ECDSA par rapport à la NF, mais je ne
sais pas leque.

Fred.
Posté le 31 janvier 2017 - 15:51
Dites les gens,

je vous vois vous creuser la tête sur la NF525 et ses obligations...mais où avez-vous vu dans la LF2016 qu'il fallait crypter les données avec des certificats 2048bits ?

La loi ne parle que d’inaltérabilité,de sécurisation, de conservation et d’archivage de données, sans aucun contexte technique ni aucune référence à la NF525. Le simple fait de remonter les mouvements sur un serveur central inaccessible au client (sur le net par exemple) suivant une connexion sécurisée répond déjà aux critères de la loi.
Posté le 01 février 2017 - 11:04
Le 31/01/2017 à 14:51, Execute a écrit :
Dites les gens,

je vous vois vous creuser la tête sur la NF525 et ses obligations...mais
où avez-vous vu dans la LF2016 qu'il fallait crypter les données avec
des certificats 2048bits ?

La loi ne parle que d’inaltérabilité,de sécurisation, de conservation
et d’archivage de données, sans aucun contexte technique ni aucune
référence à la NF525. Le simple fait de remonter les mouvements sur un
serveur central inaccessible au client (sur le net par exemple) suivant
une connexion sécurisée répond déjà aux critères de la loi.



Ouaip, sauf que l'on doit aussi garantir l'inaltérabilité des données
primaires ... qui sont celles de la caisse et ce sont celles la que le
contrôleur des impôts va récupérer.

Après on retourne sur le débat certification ou attestation. Si on
choisit la voie de la certification alors il faut signer :) (ce qui est
quand même le sujet de ce post)

Fred.
Posté le 04 février 2017 - 00:55
Fabrice Harari a écrit :
Bonjour
tu es dans un cas très intéressant... Comme tu as les sources de ton
soft, que tu connais les clé d'encryption et tout ce qui concerne la
sécurité, tu peux sans problème trafiquer tes fichiers et recalculer les
checksums pour l'utilisation dans ta propre société...
NF525 n'apporte donc aucune sécurité dans ton cas.
Normalement, le gars qui a les clés du coffre n'est pas aussi le gars
susceptible d'essayer de voler son contenu...
Donc, sauf si NF525 parle spécifiquement de ce cas, je me demande
jusqu'à quel point ca vaut la peine de l'implémenter, du coup.
Cordialement
Fabrice Harari
Consultant WinDev, WebDev et WinDev Mobile International


bonsoir,
100% d'accord avec toi fabrice , comme dab , surtout que quand tu signe en RSA , c'est avec la clé privé , qui est forcement trouvable par un crackeur dans ton soft,c'est donc contournable .
la seul chose étant de crypter avec la clé public et non de signé ,mais seul l'éditeur pourrait décrypter avec la clé privé , et si il la donne au impôt ,rebelote les fuites possible (sans vouloir accusé les brigades de recherche mais on ne peut pas garantir leurs bonnes fois).....
un cryptage chainé est de toute façon impossible car cela grossirait à vu d'oeil , une signature non ,elle reste constante , je pense qu'il faut signé les lignes et les lignes entre elle de prime abord mais pour 'restituer les valeurs d'origine' il faut associer la signature de la ligne avec un cryptage contrôlable avec un code 'impot' mais il est noter aussi que les données doivent être accessible même si l'utilisateur change de logiciel ?!!??? dur dur ...
franchement c'est le délire
Membre enregistré
2 566 messages
Popularité : +222 (260 votes)
Posté le 08 février 2017 - 14:22
Bonjour,

Je suis en concurrence avec odoo chez un client, quelqu'un sait-il comment va s'appliquer la norme sur les logiciels libre ?

--
Cordialement,

Philippe SAINT-BERTIN
Géode Informatique
Posté le 15 février 2017 - 10:42
Bonjour,

quelques interrogations sur la signature dans la NF525 (encore) :

1 ) Les entêtes de tickets doivent être signés, OK.
Mais qu'en est-t-il des lignes des tickets ?
Dans mon cas, une ligne correspond à un article, une quantité, un montant etc...
Je ne vois rien correspondant à cela dans les règles.

2 ) Les données des tickets doivent être signées en incluant la signature du ticket précédent.
Qu'en est-il du ticket suivant ?
Logiquement, il devrait aussi être inclus, mais je n'ai rien trouvé dans les règles NF525.

3 ) Toujours concernant le chaînage des signatures, sur quelle période la chaîne doit être ininterrompue ?
Je suppose que c'est lié aux périodes de clôture ?
Dans mon cas, ouverture de la caisse le matin et clôture le soir.
Donc je suppose que le premier ticket de la journée n'a pas besoin d'inclure la signature du dernier ticket de la veille ?

Je prévois de faire la formation le mois prochain mais j'aimerai avancer entre temps.

Merci pour vos réponses.

Michaël.
Posté le 15 février 2017 - 13:31
Bonjour Michael,

toutes tes questions ont trait à la logique de la chose...

Personne ne doit pouvoir modifier le contenu des fichiers d'une façon
qui tromperait les impots sans que ca se voit...

Donc, les réponses point par point :

Le 2/15/2017 à 4:42 AM, Michael a écrit :
Bonjour,

quelques interrogations sur la signature dans la NF525 (encore) :

1 ) Les entêtes de tickets doivent être signés, OK.
Mais qu'en est-t-il des lignes des tickets ?
Dans mon cas, une ligne correspond à un article, une quantité, un
montant etc...
Je ne vois rien correspondant à cela dans les règles.


Oui, bien sur qu'il faut les signer. Autrement, on pourrait remplacer
des articles à forte valeur ajouté par des articles à faible valeur
ajoutée pour le même montant total, et donc prétendre faire beaucoup
oins de bénéfice.

2 ) Les données des tickets doivent être signées en incluant la
signature du ticket précédent.
Qu'en est-il du ticket suivant ?
Logiquement, il devrait aussi être inclus, mais je n'ai rien trouvé dans
les règles NF525.


A priori, rien ne l'oblige, ce qui est une faiblesse de la norme. En
meme temps, si tu attend le ticket suivant pour modifier l'enreg
précédent, il faut bien exclure les signatures de la signature et ca
double la taille des signature. Donc, si tu compte signer l'attestation
au lieu de passer par une certif externe, c'est certainement conseillé.

3 ) Toujours concernant le chaînage des signatures, sur quelle période
la chaîne doit être ininterrompue ?
Je suppose que c'est lié aux périodes de clôture ?


Surtout pas...
Dans mon cas, ouverture de la caisse le matin et clôture le soir.
Donc je suppose que le premier ticket de la journée n'a pas besoin
d'inclure la signature du dernier ticket de la veille ?

VRAIMENT PAS... ton idée permettrait de remplacer facilement un jour
complet de caisse.

La signature doit être MECANIQUE, un enreg après l'autre, et
complètement séparée de la logique de l'appli.

Il faut signer les enregs au fur et à mesure qu'ils sont ajoutés (perso,
je détourne le hajoute pour ca) sans se préoccuper à aucun moment du
CONTENU des enregs.

Ton fichier doit être signé depuis le premier enreg du fichier jusqu'au
dernier, sans aucune interruption.


Cordialement


--
Fabrice Harari
Consultant WinDev, WebDev et WinDev Mobile International

A votre disposition : WXShowroom.com, WXReplication (open source) et
maintenant WXEDM (open source)

Plus d'information sur http://fabriceharari.com

Je prévois de faire la formation le mois prochain mais j'aimerai avancer
entre temps.

Merci pour vos réponses.

Michaël.
Posté le 15 février 2017 - 15:37
Merci Fabrice pour tes réponses !

En effet, c'est très logique et je n'avais pas pensé à tout ça !
Posté le 15 février 2017 - 16:31
Fabrice, quand tu dis !
"Autrement, on pourrait remplacer des articles à forte valeur ajouté par des articles à faible valeur
ajoutée pour le même montant total."

Alors :
Et les stocks sont faux !
Posté le 15 février 2017 - 18:38
Le 15/02/2017 à 15:31, Christine a écrit :
Fabrice, quand tu dis !
"Autrement, on pourrait remplacer des articles à forte valeur ajouté par
des articles à faible valeur ajoutée pour le même montant total."

Alors :
Et les stocks sont faux !


Vu que 90% des client ne gèrent pas leurs stocks informatiquement ... :)

Bon dev,

Fred.
Posté le 15 février 2017 - 19:28
Bonjour

Alors :
Et les stocks sont faux !


Ben oui... Dans tous les cas, quand les gens trichent dans leur comptes,
il va y avoir quelque chose de faux...

Qui sera corrigé à la main par le fraudeur s'il est suffisamment malin
pour ça, ou qui sera découvert par les impôts lors d'un contrôle. Et ils
contrôlent tout (y compris, par exemple, dans un restaurant, le nombre
de nappes en papier, la quantité de sel utilisé, etc...)

Mais le problème n'est pas la...

Le problème est que cette loi reporte la responsabilité sur NOUS, les
développeurs de soft. Il faut donc, pour SE protéger, penser aux
différentes arnaques que les utilisateurs de nos softs peuvent essayer
de mettre en place.

Cordialement


--
Fabrice Harari
Consultant WinDev, WebDev et WinDev Mobile International

A votre disposition : WXShowroom.com, WXReplication (open source) et
maintenant WXEDM (open source)

Plus d'information sur http://fabriceharari.com
Membre enregistré
204 messages
Popularité : +1 (1 vote)
Posté le 15 février 2017 - 21:30
Bonjour

Je pense pas qu'il soit obligatoire de protéger les lignes articles des tickets de caisses
Perso je ne protège que la ligne totale, et après ce n'est que du contrôle

Par ticket
1) dans chaque ligne article j'ai la qte / le prix / le mt TTC et mt HT, le code TVA et le taux
2) une ligne par règlements
3) et une ligne total, avec Qtes Globales, Mt TTC , Mt HT, le détail HT et TTC par code TVA (avec le taux) et une protection Hashcoding (avec mot de passe)

Une table TVA de la journée (par code TVA, avec le mt HT et TTC ) et un Hashcoding (avec un autre, mot de passe)
Une table Règlement de la journée (par code, avec le mt) et un Hashcoding (avec mot de passe)
Une table article , avec par journée : l'article, la Qte, le Mt HT, Mt TTC , le code TVA et le Taux et un Hashcoding (avec mot de passe)
+ fichier d'audit, avec le total HT et TTC de chaque tickets (et le Hashcoding de la ligne total du ticket)

et le soir, a l’édition des résultats
*je vérifie le fichier Ticket avec : détail des lignes article TTC = total des lignes règlements =lignes totales TTC
* même chose pour les lignes articles HT et lignes totales HT
* et je contrôle ma table TVA journalière avec mes lignes Total tickets (test sur le HT et le TTC)
* ma table règlement journalier avec le total des tickets TTC
* ma table articles journalier = a mes lignes Total Tickets (en HT et en TTC)
* que le Hashcoding de chaque ligne total ticket dans mon fichier d'audit = Hashcoding de la ligne totale dans le fichier Ticket

Meme test lancer quand je fais l'archivage fiscal (chaque ligne de l'archive fiscale est protégée par un Hashcoding (avec un mot de passe)
+ un fichier index avec les noms des fichiers archives fiscales et le Hashcoding des fichiers.

* Un traitement peut être lancer a la main , et en visu du fichier d'audit, possibilité de lancer un contrôle d’intégrité.

Si problème d’écart, envoie d'un email a notre maintenance, pour que l'on vérifie si le problème vient de la base ou d'une intervention

Le problème, si c'est du a une tentative de modification a la main, que doit on faire ? (et qu'avons nous le droit de faire ?)
(mais pour l'instant c'est jamais arrivé ;)) )

Avec ça, je pense (évidement pas a 100%, mais...) que je suis tranquille, et avant qu'un de mes clients s'aventure a s'amuser avec...

On a choisit de passer par l'attestation et pas par la norme.

Cordialement
Olivier
Posté le 16 février 2017 - 08:30
Bonjour Olivier,

en effet tu devrais être tranquille.

De notre côté, cet outil est destiné à nos propres magasins.
Le but est donc surtout d'être conforme à la loi.

Dans la NF525, les différentes signatures sont détaillées mais à aucun moment elle ne parle de signature des lignes d'encaissement.
Il y a par contre bien des signatures sur les grands totaux comme tu le fais toi, ainsi que sur la piste d'audit.
Posté le 16 février 2017 - 11:53
Le 16/02/2017 à 07:30, Michael a écrit :
Bonjour Olivier,

en effet tu devrais être tranquille.

De notre côté, cet outil est destiné à nos propres magasins.
Le but est donc surtout d'être conforme à la loi.

Dans la NF525, les différentes signatures sont détaillées mais à aucun
moment elle ne parle de signature des lignes d'encaissement.
Il y a par contre bien des signatures sur les grands totaux comme tu le
fais toi, ainsi que sur la piste d'audit.


Salut,

Pour l'instant il n'y a aucune obligation dans la certif pour la
signature des lignes de d'encaissements.

Comme beaucoup, nous avons (pour notre tranquillité) choisi de les
signer quand même.

rien n'empêche de protéger plus, c'est protéger moins qui est
problématique :)

Fred.
Membre enregistré
204 messages
Popularité : +1 (1 vote)
Posté le 16 février 2017 - 14:43
Bonjour

Petite question :

Si on trouve un problème (difference entre bases et protection) que doit on faire ? (et qu'avons nous le droit de faire ?)

Cordialement
Olivier
Posté le 16 février 2017 - 14:57
Le 16/02/2017 à 13:43, Olivier PERRIN a écrit :
Bonjour

Petite question :

Si on trouve un problème (difference entre bases et protection) que doit
on faire ? (et qu'avons nous le droit de faire ?)
Cordialement
Olivier


Dans notre cas, inscription dans la piste d'audit d'un défaut détecté.
Vu que cela pourrait potentiellement être du à un pb (plantage, bug,
...) pour l'instant nous n'avons pas prévu de blocage et cela reste
cohérent par rapport à la certification (nous sommes déjà certifiés)

Fred.
Membre enregistré
18 messages
Posté le 20 février 2017 - 10:05
Fredo a écrit :
L


Salut,

Nous on est parti sur un duo clé publique / clé privé généré en interne,
par contre notre signature ne fait pas 3700 caractères mais moins de 60.

Tu es sur que tu n'as pas fait un cryptage au lieu d'une signature ?

Fred.


Bonjour,

Je suis aussi en train de me mettre à la signature numérique à clé publique/privée.
Si je pars su de RSA2048, je lis un peu partout que la taille de la signature est (au maximum) celle de la clé, donc maximum 2048 bits.
Comment arrivez-vous à mettre ça dans 60 caractères ?
Ou alors vous faites de l'elliptique 224 bits ? Dans ce cas ça colle.
Posté le 20 février 2017 - 14:14
Le 20/02/2017 à 09:05, ANDRE THEVENIN a écrit :
Fredo a écrit :
L


Salut,

Nous on est parti sur un duo clé publique / clé privé généré en interne,
par contre notre signature ne fait pas 3700 caractères mais moins de 60.

Tu es sur que tu n'as pas fait un cryptage au lieu d'une signature ?

Fred.

Bonjour,

Je suis aussi en train de me mettre à la signature numérique à clé
publique/privée.
Si je pars su de RSA2048, je lis un peu partout que la taille de la
signature est (au maximum) celle de la clé, donc maximum 2048 bits.
Comment arrivez-vous à mettre ça dans 60 caractères ?
Ou alors vous faites de l'elliptique 224 bits ? Dans ce cas ça colle.


Effectivement, elliptique et pas RSA chez nous.

Fred.
Membre enregistré
18 messages
Posté le 20 février 2017 - 14:57
Fredo a écrit :
Le 20/02/2017 à 09:05, ANDRE THEVENIN a écrit :
Fredo a écrit :
L


Salut,

Nous on est parti sur un duo clé publique / clé privé généré en interne,
par contre notre signature ne fait pas 3700 caractères mais moins de 60.

Tu es sur que tu n'as pas fait un cryptage au lieu d'une signature ?

Fred.

Bonjour,

Je suis aussi en train de me mettre à la signature numérique à clé
publique/privée.
Si je pars su de RSA2048, je lis un peu partout que la taille de la
signature est (au maximum) celle de la clé, donc maximum 2048 bits.
Comment arrivez-vous à mettre ça dans 60 caractères ?
Ou alors vous faites de l'elliptique 224 bits ? Dans ce cas ça colle.


Effectivement, elliptique et pas RSA chez nous.

Fred.



Merci pour la réponse.
Et ça ne pose pas de problème de performance ?
Posté le 20 février 2017 - 15:41
Le 20/02/2017 à 13:57, ANDRE THEVENIN a écrit :
Fredo a écrit :
Le 20/02/2017 à 09:05, ANDRE THEVENIN a écrit :
Fredo a écrit :
L


Salut,

Nous on est parti sur un duo clé publique / clé privé généré en interne,
par contre notre signature ne fait pas 3700 caractères mais moins de 60.

Tu es sur que tu n'as pas fait un cryptage au lieu d'une signature ?

Fred.

Bonjour,

Je suis aussi en train de me mettre à la signature numérique à clé
publique/privée.
Si je pars su de RSA2048, je lis un peu partout que la taille de la
signature est (au maximum) celle de la clé, donc maximum 2048 bits.
Comment arrivez-vous à mettre ça dans 60 caractères ?
Ou alors vous faites de l'elliptique 224 bits ? Dans ce cas ça colle.


Effectivement, elliptique et pas RSA chez nous.

Fred.


Merci pour la réponse.
Et ça ne pose pas de problème de performance ?


Pas de soucis particuliers rencontrés au niveau perf.

Fred
Membre enregistré
198 messages
Popularité : +2 (2 votes)
Posté le 21 février 2017 - 15:46
Fabrice Harari a écrit :
Bonjour Michael,

1 ) Les entêtes de tickets doivent être signés, OK.
Mais qu'en est-t-il des lignes des tickets ?
Dans mon cas, une ligne correspond à un article, une quantité, un
montant etc...
Je ne vois rien correspondant à cela dans les règles.


Oui, bien sur qu'il faut les signer. Autrement, on pourrait remplacer
des articles à forte valeur ajouté par des articles à faible valeur
ajoutée pour le même montant total, et donc prétendre faire beaucoup
moins de bénéfice.

2 ) Les données des tickets doivent être signées en incluant la
signature du ticket précédent.
Qu'en est-il du ticket suivant ?
Logiquement, il devrait aussi être inclus, mais je n'ai rien trouvé dans
les règles NF525.


A priori, rien ne l'oblige, ce qui est une faiblesse de la norme. En
meme temps, si tu attend le ticket suivant pour modifier l'enreg
précédent, il faut bien exclure les signatures de la signature et ca
double la taille des signature. Donc, si tu compte signer l'attestation
au lieu de passer par une certif externe, c'est certainement conseillé.



Il faut signer les enregs au fur et à mesure qu'ils sont ajoutés (perso,
je détourne le hajoute pour ca) sans se préoccuper à aucun moment du
CONTENU des enregs.

Ton fichier doit être signé depuis le premier enreg du fichier jusqu'au
dernier, sans aucune interruption.


Bonjour fabrice ;
Pour le premier point logiquement si tu inclus la tva dans la facture , il ne servirait à rien de trafiquer les lignes de la facture ,la signature serait juste sur le ticket et non sur ses lignes , la signature se ferait donc sur les montants ht/ttc,le numéro , l'id et le client ....
un problème se pose pour moi ,il faut signer ses enregistrements ,il faut le faire au fur et à mesure ,on ne peut donc pas revenir pour modifier une facture sinon la signature de la facture est mauvaise .... par contre sur les lignes de la facture on peut faire des + en négatif pour supprimer des articles et pour maintenir la signature ,comme pour les paiements d'ailleurs un ajout en négatif pour annuler un paiement , c'est facile , mais pour les factures ,c'est plus difficile .
il ne faut pas oublier que tout les documents qui permette de fabriquer une facture doivent subir le même sort , commande ,devis etc ...

pour le deuxième point je ne comprends pas fabrice comme tu signe tes lignes sans t'occuper du contenu de celle-ci puisque c'est justement ce qui doit être surveillé ?
Membre enregistré
18 messages
Posté le 14 mars 2017 - 15:56
Bonjour,

Dans le document BOI-TVA-DECLA-30-10-30-20160803, il y a un paragraphe un peu étonnant concernant les archives
"Les archives doivent pouvoir être lues aisément par l'administration en cas de contrôle, y compris lorsque l'entreprise a changé de logiciel ou de système"
Je ne vois qu'un moyen, c'est de faire des archives à un format "bureautique", style tableur, ce qui promet d'être assez gros sur un exercice d'une année par exemple.
Vous avez d'autres idées ?
Membre enregistré
204 messages
Popularité : +1 (1 vote)
Posté le 14 mars 2017 - 18:27
Bonjour

Pour Andre, il faut que des archives fiscales soient lisible, est donc il faut faire des fichiers TXT ou CSV. (avec toutes les lignes des ventes articles , règlement et total par ticket).
Pour l'instant il n'y a pas de dessin fixe pour les archives fiscales, il faut juste mettre tous les renseignements lignes (article, qte, prix , mt ttc, mt ht, code tva, taux de tva, mode reglement, libelle reglement , mt , total , detail des tva (ht, code , taux, ttc) ect...

Avec la loi de finance, tu dois faire un archivage fiscal (toute les semaines ou tous les mois)

De toute facon,, quand tu as un contrôle fiscal il faut fournir les ventes détaillées dans un fichier TXT (ou CSV) (norme, loi de finance ou pas)
Membre enregistré
198 messages
Popularité : +2 (2 votes)
Posté le 14 mars 2017 - 20:11
J'ai eu l'occasion d'utiliser un logiciel NF525 , pas d'archivage csv ou txt ,des fichiers hf/cs simple sans code ,d'ailleurs c'est logique ,que ce soit un txt ou csv ,il faut quand même l'ouvrir avec un logiciel !!!! c'est pas graver dans la pierre et lisible avec les yeux .... mais c'est bizarre tout de même en hf/cs ....
Posté le 14 mars 2017 - 20:55
Bonjour

un simple 'viewer' d'archives peut être écrit en quelques minutes :
une fenêtre avec une table, une requête avec un intervalle de dates, et
un ConstruitTableFIchier et hop c'est fait.

et comme les fonctions intégrées à la table incluent un export en word
ou autre, tout est bon


Le viewer peut être fourni à l'administration sur demande.

Cordialement


--
Fabrice Harari
Consultant WinDev, WebDev et WinDev Mobile International

A votre disposition : WXShowroom.com, WXReplication (open source) et
maintenant WXEDM (open source)

Plus d'information sur http://fabriceharari.com


Le 3/14/2017 à 2:11 PM, GAD a écrit :
J'ai eu l'occasion d'utiliser un logiciel NF525 , pas d'archivage csv ou
txt ,des fichiers hf/cs simple sans code ,d'ailleurs c'est logique ,que
ce soit un txt ou csv ,il faut quand même l'ouvrir avec un logiciel !!!!
c'est pas graver dans la pierre et lisible avec les yeux .... mais c'est
bizarre tout de même en hf/cs ....
Posté le 15 mars 2017 - 09:01
Le 14/03/2017 à 19:55, Fabrice Harari a écrit :
Bonjour

un simple 'viewer' d'archives peut être écrit en quelques minutes :
une fenêtre avec une table, une requête avec un intervalle de dates, et
un ConstruitTableFIchier et hop c'est fait.

et comme les fonctions intégrées à la table incluent un export en word
ou autre, tout est bon


Le viewer peut être fourni à l'administration sur demande.

Cordialement



Pour info, chaque fois qu'un de nos utilisateurs à un contrôle fiscal on
nous demande un descriptif de nos fichiers HF. Lorsqu'ils contrôlent,
ils ne se contentent pas de regarder des exports, il tapent directement
dans les fichiers.

L'administration fiscale a déjà des outils d'analyse qui leur permettent
de mouliner directement les fichiers hyperfile (développés par leur soins)

Une autre info, depuis 2013, l'administration fiscale à le droit de
venir chez vous récupérer le code source de votre soft.

Bon dev,

Fred
Membre enregistré
198 messages
Popularité : +2 (2 votes)
Posté le 15 mars 2017 - 09:28
Fred

Pour info, chaque fois qu'un de nos utilisateurs à un contrôle fiscal on
nous demande un descriptif de nos fichiers HF. Lorsqu'ils contrôlent,
ils ne se contentent pas de regarder des exports, il tapent directement
dans les fichiers.

L'administration fiscale a déjà des outils d'analyse qui leur permettent
de mouliner directement les fichiers hyperfile (développés par leur soins)

Une autre info, depuis 2013, l'administration fiscale à le droit de
venir chez vous récupérer le code source de votre soft.

Bon dev,

Fred


Bonjour,
pour ma part ,l'administration fiscal m'a demandé par lettre pour un client le code d'accès à la base de donnée , ils ont le droit de te de demander les codes mais pas les codes 'sources' , çà c'est la nsa .... et sans te demander lol
Membre enregistré
12 messages
Posté le 15 mars 2017 - 10:14
Bonjour

En retour d’expérience, sur tous les contrôles fiscaux fait a mes clients ( jusqu’à maintenant une dizaine), on a du seulement fournir les fichiers archives des tickets de caisses en CSV. Et ça c'est toujours bien passé

Cordialement
Posté le 15 mars 2017 - 13:47
Le 15/03/2017 à 08:28, GAD a écrit :
Fred

Pour info, chaque fois qu'un de nos utilisateurs à un contrôle fiscal on
nous demande un descriptif de nos fichiers HF. Lorsqu'ils contrôlent,
ils ne se contentent pas de regarder des exports, il tapent directement
dans les fichiers.

L'administration fiscale a déjà des outils d'analyse qui leur permettent
de mouliner directement les fichiers hyperfile (développés par leur
soins)

Une autre info, depuis 2013, l'administration fiscale à le droit de
venir chez vous récupérer le code source de votre soft.

Bon dev,

Fred

Bonjour,
pour ma part ,l'administration fiscal m'a demandé par lettre pour un
client le code d'accès à la base de donnée , ils ont le droit de te de
demander les codes mais pas les codes 'sources' , çà c'est la nsa ....
et sans te demander lol


Raté, si tu lis la loi de finance de décembre 2013, c'est marqué noir
sur blanc et non opposable. Ils peuvent (et ils le font) récupérer les
sources.

https://www.legifrance.gouv.fr/affichTexteArticle.do;jsessionid=7AD4BA06B6ADE14326BB025492048EA5.tpdila23v_3…


Fred
Membre enregistré
18 messages
Posté le 15 mars 2017 - 14:29
Fredo a écrit :
Le 15/03/2017 à 08:28, GAD a écrit :
Fred

Pour info, chaque fois qu'un de nos utilisateurs à un contrôle fiscal on
nous demande un descriptif de nos fichiers HF. Lorsqu'ils contrôlent,
ils ne se contentent pas de regarder des exports, il tapent directement
dans les fichiers.

L'administration fiscale a déjà des outils d'analyse qui leur permettent
de mouliner directement les fichiers hyperfile (développés par leur
soins)

Une autre info, depuis 2013, l'administration fiscale à le droit de
venir chez vous récupérer le code source de votre soft.

Bon dev,

Fred

Bonjour,
pour ma part ,l'administration fiscal m'a demandé par lettre pour un
client le code d'accès à la base de donnée , ils ont le droit de te de
demander les codes mais pas les codes 'sources' , çà c'est la nsa ....
et sans te demander lol


Raté, si tu lis la loi de finance de décembre 2013, c'est marqué noir
sur blanc et non opposable. Ils peuvent (et ils le font) récupérer les
sources.

https://www.legifrance.gouv.fr/affichTexteArticle.do;jsessionid=7AD4BA06B6ADE14326BB025492048EA5.tpdila23v_3…


Fred




Le terme "code" est ambigu. Venant de l'administration des impôts, je ne pense pas que ça veuille dire "code source", sinon ça sera écrit comme ça, et pas au pluriel.
Ça doit vouloir plutôt dire "codes d'accès".
Mais bon j'ai peut-être tout faux. En tous cas bon courage à l'inspecteur des impôts qui voudra entrer dans mon "code" :-) . Au dernier pointage, c'est 700 fichiers.
Membre enregistré
198 messages
Popularité : +2 (2 votes)
Posté le 15 mars 2017 - 14:33
Fredo a écrit :

Raté, si tu lis la loi de finance de décembre 2013, c'est marqué noir
sur blanc et non opposable. Ils peuvent (et ils le font) récupérer les
sources.

https://www.legifrance.gouv.fr/affichTexteArticle.do;jsessionid=7AD4BA06B6ADE14326BB025492048EA5.tpdila23v_3…


Fred


oui je l'ai lu ,elle peux être interprété différemment par la justice , puisque si tu les donnent pas tu finira là :
"tous codes, données, traitements ou documentation qui s'y rattachent."
en aucun cas : les sources du programme , le mot code est discutable et le mot traitement aussi .
imagine toi ,le contrôleur fiscal d'une petite ville demander les code sources de TOUT LES PRODUITS Sage , je me marre ....
Posté le 15 mars 2017 - 15:47
Le 15/03/2017 à 13:29, ANDRE THEVENIN a écrit :
Fredo a écrit :
Le 15/03/2017 à 08:28, GAD a écrit :
Fred

Pour info, chaque fois qu'un de nos utilisateurs à un contrôle fiscal on
nous demande un descriptif de nos fichiers HF. Lorsqu'ils contrôlent,
ils ne se contentent pas de regarder des exports, il tapent directement
dans les fichiers.

L'administration fiscale a déjà des outils d'analyse qui leur permettent
de mouliner directement les fichiers hyperfile (développés par leur
soins)

Une autre info, depuis 2013, l'administration fiscale à le droit de
venir chez vous récupérer le code source de votre soft.

Bon dev,

Fred

Bonjour,
pour ma part ,l'administration fiscal m'a demandé par lettre pour un
client le code d'accès à la base de donnée , ils ont le droit de te de
demander les codes mais pas les codes 'sources' , çà c'est la nsa ....
et sans te demander lol


Raté, si tu lis la loi de finance de décembre 2013, c'est marqué noir
sur blanc et non opposable. Ils peuvent (et ils le font) récupérer les
sources.

https://www.legifrance.gouv.fr/affichTexteArticle.do;jsessionid=7AD4BA06B6ADE14326BB025492048EA5.tpdila23v_3…



Fred



Le terme "code" est ambigu. Venant de l'administration des impôts, je ne
pense pas que ça veuille dire "code source", sinon ça sera écrit comme
ça, et pas au pluriel.
Ça doit vouloir plutôt dire "codes d'accès".
Mais bon j'ai peut-être tout faux. En tous cas bon courage à
l'inspecteur des impôts qui voudra entrer dans mon "code" :-) . Au
dernier pointage, c'est 700 fichiers.


Par expérience personnelle, je peux te garantir qu'il n'y a pas
d’ambiguïté sans oublier que tu dois conserver les sources des logiciels
que tu ne diffuses plus pendant 3 ans.

Fred.
Membre enregistré
198 messages
Popularité : +2 (2 votes)
Posté le 15 mars 2017 - 16:29
Fredo a écrit :

Le terme "code" est ambigu. Venant de l'administration des impôts, je ne
pense pas que ça veuille dire "code source", sinon ça sera écrit comme
ça, et pas au pluriel.
Ça doit vouloir plutôt dire "codes d'accès".
Mais bon j'ai peut-être tout faux. En tous cas bon courage à
l'inspecteur des impôts qui voudra entrer dans mon "code" . Au
dernier pointage, c'est 700 fichiers.


Par expérience personnelle, je peux te garantir qu'il n'y a pas
d’ambiguïté sans oublier que tu dois conserver les sources des logiciels
que tu ne diffuses plus pendant 3 ans.

Fred.

tu te base sur quel source et quel jurisprudence ?
Posté le 16 mars 2017 - 08:32
Bonjour à tous le monde.
En faite je doit être amener en mettre en conformité le module POS odoo pour qu'il soit certifié à la NF525, cependant les choses ne sont pas encore claires dans ma tête notamment :
- Est ce que les exigences pour une catégorie donnée doivent être toutes implémenter ou bien ça dépend du logiciel ?
- Je dispose du document NF525 mais il existe beaucoup de choses dont je ne comprend pas comment pourrais-je faire?
- Exemple au niveau du 5.3.3 Gestion des périodes et 5.3.4 Gestion des périodes d’encaissement : quelle est la différence entre ces deux et en quoi consiste une gestion de période?
- J'ai eu l’occasion de tester certains logiciels certifiés mais je ne vois pas certaines exigences de la NF525 comment cela peut s'expliquer?
Merci beaucoup.
Membre enregistré
198 messages
Popularité : +2 (2 votes)
Posté le 16 mars 2017 - 10:20
Bonjour,
il n'est pas facile de répondre sur un document que l'on ne possède pas mais vu que la certification n'est valable qu'une année ,la norme peux évoluer , je n'ai pu essayer qu'un seul logiciel NF , c'est donc dur de comparer , à mon avis suivant le certificateur ,tu n'a pas les mêmes contraintes mais elles sont proches , ton document n'est pas forcement exhaustif et ne donne pas la solution mais la méthode ,ce qui est sûr ,c'est que tout les points doivent être présent dans ton logiciel sinon à quoi bon servirait une norme .

--
mon-contact-mail@laposte.net
Membre enregistré
198 messages
Popularité : +2 (2 votes)
Posté le 16 mars 2017 - 10:32
On peut tout à fait comparer les logiciels déjà NF est les besoins de ta doc , c'est une idée comme une autre ,si tu as besoin d'aide n'hésite pas à me contacter , dans celui que j'ai essayé il y a effectivement plusieurs notions de période (même sur les fichiers hf ! )

--
mon-contact-mail@laposte.net
Posté le 16 mars 2017 - 10:44
Le 15/03/2017 à 15:29, GAD a écrit :
Fredo a écrit :

Le terme "code" est ambigu. Venant de l'administration des impôts, je ne
pense pas que ça veuille dire "code source", sinon ça sera écrit comme
ça, et pas au pluriel.
Ça doit vouloir plutôt dire "codes d'accès".
Mais bon j'ai peut-être tout faux. En tous cas bon courage à
l'inspecteur des impôts qui voudra entrer dans mon "code" . Au
dernier pointage, c'est 700 fichiers.


Par expérience personnelle, je peux te garantir qu'il n'y a pas
d’ambiguïté sans oublier que tu dois conserver les sources des logiciels
que tu ne diffuses plus pendant 3 ans.

Fred.
tu te base sur quel source et quel jurisprudence ?


Je me base sur le fait que l'administration fiscale est déjà passée chez
nous :) et que l'inspecteur est repartis avec une copie des sources (et
qu'avant sa visite nous avons consultés nos avocats)

Fred.
Posté le 16 mars 2017 - 10:47
Le 16/03/2017 à 09:20, GAD a écrit :
Bonjour,
il n'est pas facile de répondre sur un document que l'on ne possède pas
mais vu que la certification n'est valable qu'une année ,la norme peux
évoluer , je n'ai pu essayer qu'un seul logiciel NF , c'est donc dur de
comparer , à mon avis suivant le certificateur ,tu n'a pas les mêmes
contraintes mais elles sont proches , ton document n'est pas forcement
exhaustif et ne donne pas la solution mais la méthode ,ce qui est sûr
,c'est que tout les points doivent être présent dans ton logiciel sinon
à quoi bon servirait une norme .

--
mon-contact-mail@laposte.net


La norme évolue mais il y a aussi le fait que tu ne dois traiter dans
ton soft que ce que tu gère.

Par exemple, nous n'avons pas de mode école, donc pas la peine de gérer
les paragraphes qui en parle, etc.

Concernant le certificateur, si tu prends la NF, ce ne sont jamais les
même équipes ce qui leur permet d'avoir des sensibilités différentes et
donc d'avoir plus de couverture sur l'ensemble du soft qu'ils contrôlent.

Fred.
Membre enregistré
198 messages
Popularité : +2 (2 votes)
Posté le 16 mars 2017 - 12:36
Bonjour,
effectivement Fredo tu as raison , le mode école est un bonne exemple de différence sur la 'non implantation' suivant les logiciels.
Pour info et pour rire , si tu ne gère pas les paiements , je pense que tout çà ne sert à rien, surtout la NF525 lol :p :merci:
Posté le 16 mars 2017 - 15:59
Voici selon la NF525 comment les produits sont catégorisés dit moi si cela vous dit quelle chose
<< 2.1 Catégorie de produits
Un système est classé dans une seule catégorie.
2.1.1 Catégorie A
Système d'encaissement autonome qui n’a pas la capacité d’être paramétré pour avoir un fonctionnement en communication avec d'autres systèmes d'encaissements ou systèmes centralisateurs d'encaissements (ni avoir de version qui le permette) et qui ne sont pas de catégorie B ou C.
2.1.2 Catégorie B
Système de caisse en mesure d’enregistrer, de sécuriser et d’archiver toutes les données d’encaissement en temps réel directement dans le système.
2.1.3 Catégorie C
Système d’encaissement en mesure d’enregistrer, de sécuriser et d’archiver toutes les données d’encaissement, en temps réel, directement dans le système et incorporant une gestion comptable et financière.
>>
Posté le 16 mars 2017 - 16:26
Bonjour,


Le 3/16/2017 à 9:59 AM, Servi a écrit :
Voici selon la NF525 comment les produits sont catégorisés dit moi si
cela vous dit quelle chose
<< 2.1 Catégorie de produits Un système est classé dans une seule
catégorie. 2.1.1 Catégorie A Système d'encaissement autonome qui n’a
pas la capacité d’être paramétré pour avoir un fonctionnement en
communication avec d'autres systèmes d'encaissements ou systèmes
centralisateurs d'encaissements (ni avoir de version qui le permette) et
qui ne sont pas de catégorie B ou C.


Caisse bête, autonome, non reliée, à l'ancienne.

2.1.2 Catégorie B Système de
caisse en mesure d’enregistrer, de sécuriser et d’archiver toutes les
données d’encaissement en temps réel directement dans le système.


Caisse moderne reliée au réseau entreprise et écrivant en Base de
données. Peut être un bête ordi.

2.1.3 Catégorie C Système d’encaissement en mesure d’enregistrer, de
sécuriser et d’archiver toutes les données d’encaissement, en temps
réel, directement dans le système et incorporant une gestion comptable
et financière. >>


La même, mais le système complet incorpore aussi une compta+
Posté le 16 mars 2017 - 17:41
Bjr,

GAD avait écrit le 15/03/2017 :
oui je l'ai lu ,elle peux être interprété différemment par la justice ,
puisque si tu les donnent pas tu finira là :
"tous codes, données, traitements ou documentation qui s'y rattachent."
en aucun cas : les sources du programme , le mot code est discutable et le
mot traitement aussi .
imagine toi ,le contrôleur fiscal d'une petite ville demander les code
sources de TOUT LES PRODUITS Sage , je me marre ....


Prends plutot le probleme à l'envers.
Comment veux-tu qu'ils controlent quoi que ce soit s'ils n'ont pas les
sources.
Et y a meme interet que les sources que tu fournis amene au meme exe
qu'il trouve chez le client.
Sinon n'importe quelle moulinette pourrait etre incorporée.....
(Avant la NF 525 bien sur)

Personnellement depuis 1992, je m'attends et je suis pret a fournir les
sources des softs installés.

a plus

--
-------------------------------------------------------------
www.ctc-soft.com
Gestion biblo-documentaire (free-share)
Comptabilité shareware
Logiciels de Gestion de saisie terrain
Spécialisé Tournées de boulangers
-------------------------------------------------------------
Membre enregistré
18 messages
Posté le 18 mars 2017 - 09:32
Dc a écrit :


Prends plutot le probleme à l'envers.
Comment veux-tu qu'ils controlent quoi que ce soit s'ils n'ont pas les
sources.
Et y a meme interet que les sources que tu fournis amene au meme exe
qu'il trouve chez le client.
Sinon n'importe quelle moulinette pourrait etre incorporée.....
(Avant la NF 525 bien sur)
--
-------------------------------------------------------------
www.ctc-soft.com
Gestion biblo-documentaire (free-share)
Comptabilité shareware
Logiciels de Gestion de saisie terrain
Spécialisé Tournées de boulangers
-------------------------------------------------------------


Garantir que les sources vont fournir le même exe que chez un client, c'est quasiment impossible.
Il faudrait que la compilation utilise exactement la même suite logicielle, avec les mêmes mises à jour, et les mêmes librairies "seconde source". Que ce soit en environnement open source (eclipse, gcc ...) ou commercial (visual studio), ça relève de la mission impossible. Pour les environnement commerciaux, pour peu que la version ne soit plus supportée, je ne crois pas avoir le droit de "prêter" une licence même sur requête de l'administration.
En plus, à la compilation, le compilateur peut par exemple ajouter automatiquement la date de compilation. C'est une bonne pratique pour la traçabilité, mais bien sûr ça change l'exe à chaque fois.
Je garde en repository SVN les sources de toutes les versions des logiciels installés, avec tag à chaque fin de version. Même comme ça, je ne suis pas sûr de pouvoir regénérer un exécutable absolument identique à un déjà installé.
Message modifié, 18 mars 2017 - 09:32
Posté le 22 mars 2017 - 15:52
Bonjour,

Je trouve cela scandaleux, les sites reprennent une sorte de propagande notamment avec des gros titres du genre : « Obligation d’utiliser des logiciels de caisse certifiés à partir de 2018. »

Certes, il est stipulé plus bas dans ces mêmes articles qu’une attestation de l’éditeur suffit mais combien de personnes vont s’arrêter au titre qui lui est totalement faux ?

La certification n’est clairement pas accessible aux petites entreprises vu les prix exorbitants qu’Infocert requiert. De plus et grâce a cette certification, ils possèdent actuellement le monopole de la gestion de la norme NF 525, tout ça n'a été qu'un grand coup de marketing d'infocert.

Ceci est inadmissible et arrange les plus gros éditeurs de logiciels en leur offrant, en plus de leur notoriété actuelle, un avantage concurrentiel déloyal.

J'invite donc toutes les personnes qui voient cela comme du vulgaire racket (de plus ou moins 10 000€ ) à me contacter à l’adresse ci dessous, afin de faire un « regroupement » grâce auquel nous pourrons dénoncer sur le web ces titres quasi-frauduleux en faisant circuler de vraies informations.
De ce fait, l'auto-certification sera reconnue et le gros avantage concurrentiel apporté par INFOCERT sera réduit.



N’hésitez pas à me contacter pour mettre cela en place : lorispouech@yahoo.fr

Merci d’avance.
Membre enregistré
29 messages
Popularité : +3 (3 votes)
Posté le 12 avril 2017 - 15:04
Michaël a écrit :
Bonjour Fred,

je suis toujours bloqué sur la signature numérique.

J'arrive à générer mes certificats en RSA 2048 en utilisant cette méthode :
http://gghe-informatique.blogspot.fr/2012/01/creer-un-certificat-numerique-ssl-auto.html
Je charge mon certificat à l'aide des commandes de Windev, et je signe mes données.
Le soucis vient de la taille de la clé privé (environ 1600 caractères) et donc de la signature.

J'essaye donc de faire la même chose en ECDSA 256 avec la même méthode.
J'adapte simplement les commandes de type "genrsa" avec des commandes de type "ecparam".
Au niveau taille de la clé privée, c'est beaucoup plus correct (environ 166 caractères).
Je charge mon certificat dans Windev, sauf que là, Windev m'indique que ce certificat ne peux pas signer des données. (propriété "..ValidePourSignature" à FAUX).
J'ai donc contacter le support qui va voir avec l'équipe développement.

Je suis preneur de tout idée...

Michaël.


J'ai exactement le même soucis. As tu eu une réponse du support ?

Cordialement,
Posté le 14 avril 2017 - 23:06
Bonjour,

Je suis développeur et éditeur d'un logiciel de devis factures gratuit.

Est-ce qu'un logiciel de devis factures est concerné par cette loi?

Sachant qu'il est fait pour les entreprises assujetti à la TVA, et permet de saisir les règlements des factures.

Par contre, il n'y a pas d'export compta.

Qu'en pensez-vous?
Membre enregistré
5 messages
Posté le 18 avril 2017 - 11:07
Bonjour Alain,

la méthode ECDSA n'est pas prise en charge par Windev...
Ça fonctionne simplement avec du RSA.
Membre enregistré
198 messages
Popularité : +2 (2 votes)
Posté le 18 avril 2017 - 11:29
JPE a écrit :
Bonjour,

Je suis développeur et éditeur d'un logiciel de devis factures gratuit.

Est-ce qu'un logiciel de devis factures est concerné par cette loi?

Sachant qu'il est fait pour les entreprises assujetti à la TVA, et permet de saisir les règlements des factures.

Par contre, il n'y a pas d'export compta.

Qu'en pensez-vous?


Bonjour,
100% sûr que les utilisateurs de ton logiciel ont besoin d'une attestation
Membre enregistré
29 messages
Popularité : +3 (3 votes)
Posté le 19 avril 2017 - 09:55
Michaël a écrit :
Bonjour Alain,

la méthode ECDSA n'est pas prise en charge par Windev...
Ça fonctionne simplement avec du RSA.


OK merci.
Posté le 19 avril 2017 - 14:14
Merci Gad.

C'est ce qu'il me semblait. Ce que je vais faire dans un 1er temps, est d'enlever la partie gestion règlement pour les assimilés à la TVA.
Et laisser la totalité aux auto-entrepreneurs puisqu'ils ne sont pas assujetti à la TVA.

Dans un second temps, j'ajouterai ce qu'il faut au niveau technique (calcul d'un hash à chaque ligne de la base de données pour les lignes de documents et les règlements dépendantes de la précédente) afin de respecter les exigences de la loi. Une fois cela fait, je pourrai fournir une auto-certification aux utilisateurs.

Mais bon, j'engage ma responsabilité et c'est là où ça coince sachant qu'aucune sécurité est fiable de nos jours. C'est du grand n'importe quoi en fait. Vu que rien n'est certifié inviolable aujourd'hui (quand on voit que yahoo arrivent à se faire piquer des millions de login, que n'importe quel téléphone peut se faire hacker), j'en conclu qu'on peu très vite se retrouver avec un procès aux .... et donc encore une fois l'argent est la solution ->se payer un bon avocat afin d'être tranquille.

Franchement, il y a un truc qui ne va pas et je vois mal cette loi être appliquée sans éclaircissement, précisions et assoupissement.

JP
Membre enregistré
5 messages
Posté le 19 avril 2017 - 15:46
JPE a écrit :
Merci Gad.

C'est ce qu'il me semblait. Ce que je vais faire dans un 1er temps, est d'enlever la partie gestion règlement pour les assimilés à la TVA.
Et laisser la totalité aux auto-entrepreneurs puisqu'ils ne sont pas assujetti à la TVA.

Dans un second temps, j'ajouterai ce qu'il faut au niveau technique (calcul d'un hash à chaque ligne de la base de données pour les lignes de documents et les règlements dépendantes de la précédente) afin de respecter les exigences de la loi. Une fois cela fait, je pourrai fournir une auto-certification aux utilisateurs.

Mais bon, j'engage ma responsabilité et c'est là où ça coince sachant qu'aucune sécurité est fiable de nos jours. C'est du grand n'importe quoi en fait. Vu que rien n'est certifié inviolable aujourd'hui (quand on voit que yahoo arrivent à se faire piquer des millions de login, que n'importe quel téléphone peut se faire hacker), j'en conclu qu'on peu très vite se retrouver avec un procès aux .... et donc encore une fois l'argent est la solution ->se payer un bon avocat afin d'être tranquille.

Franchement, il y a un truc qui ne va pas et je vois mal cette loi être appliquée sans éclaircissement, précisions et assoupissement.

JP


Et encore tu as la possibilité de faire une attestation car tu es éditeur de logiciel.
De notre côté, nous sommes une chaîne de magasins de déco et on développe notre propre caisse...
Dans ce cas, certification par un tiers obligatoire (donc INFOCERT ou LNE), l'attestation n'est pas valable.

En gros c'est du 8 000 € / année...
Sans parler des mises à jours annuels du référentiel qui vont imposer du développement...
Bref, on perd (presque) tout l'intérêt de développer en interne...
Membre enregistré
198 messages
Popularité : +2 (2 votes)
Posté le 19 avril 2017 - 16:05
Michaël a écrit :

Et encore tu as la possibilité de faire une attestation car tu es éditeur de logiciel.
De notre côté, nous sommes une chaîne de magasins de déco et on développe notre propre caisse...
Dans ce cas, certification par un tiers obligatoire (donc INFOCERT ou LNE), l'attestation n'est pas valable.

En gros c'est du 8 000 € / année...
Sans parler des mises à jours annuels du référentiel qui vont imposer du développement...
Bref, on perd (presque) tout l'intérêt de développer en interne...

Bonjour,
rien n'empêche ton patron de faire une structure d'éditeur de logiciel , c'est plus simple .
Membre enregistré
198 messages
Popularité : +2 (2 votes)
Posté le 19 avril 2017 - 16:10
JPE a écrit :
Merci Gad.

C'est ce qu'il me semblait. Ce que je vais faire dans un 1er temps, est d'enlever la partie gestion règlement pour les assimilés à la TVA.
Et laisser la totalité aux auto-entrepreneurs puisqu'ils ne sont pas assujetti à la TVA.


> JP
bonjour,
ATTENTION !!!!
les auto entrepreneurs sont exonéré de TVA mais bien assujetti , la loi et pour eux aussi .... même pour ceux qui font de l'export (qui donc ne facture pas de tva)
cette loi est dangereuse (comme beaucoup d'autre) car elle peux être mal compris
désolé .
Membre enregistré
5 messages
Posté le 19 avril 2017 - 16:17
GAD a écrit :
Michaël a écrit :

Et encore tu as la possibilité de faire une attestation car tu es éditeur de logiciel.
De notre côté, nous sommes une chaîne de magasins de déco et on développe notre propre caisse...
Dans ce cas, certification par un tiers obligatoire (donc INFOCERT ou LNE), l'attestation n'est pas valable.

En gros c'est du 8 000 € / année...
Sans parler des mises à jours annuels du référentiel qui vont imposer du développement...
Bref, on perd (presque) tout l'intérêt de développer en interne...

Bonjour,
rien n'empêche ton patron de faire une structure d'éditeur de logiciel , c'est plus simple .


Peux-tu préciser ce que tu veux dire par là, ça m'intéresse...
Posté le 19 avril 2017 - 16:24
Bonjour,

rien n'empêche ton patron de faire une structure d'éditeur de logiciel ,
c'est plus simple .


je suis d'accord... Externaliser le service informatique dans une autre
structure juridique, lui acheter le soft, et lui faire faire
l'attestation...

Et au passage, revendre le soft à d'autres boites pour que ca rapporte
de l'argent au lieu d'en couter...

Problème ou opportunité ?

Cordialement


--
Fabrice Harari
Consultant WinDev, WebDev et WinDev Mobile International

A votre disposition : WXShowroom.com, WXReplication (open source) et
maintenant WXEDM (open source)

Plus d'information sur http://fabriceharari.com
Posté le 19 avril 2017 - 18:18
JPE a formulé ce mercredi :
Merci Gad.

C'est ce qu'il me semblait. Ce que je vais faire dans un 1er temps, est
d'enlever la partie gestion règlement pour les assimilés à la TVA.
Et laisser la totalité aux auto-entrepreneurs puisqu'ils ne sont pas
assujetti à la TVA.

Dans un second temps, j'ajouterai ce qu'il faut au niveau technique (calcul
d'un hash à chaque ligne de la base de données pour les lignes de documents
et les règlements dépendantes de la précédente) afin de respecter les
exigences de la loi. Une fois cela fait, je pourrai fournir une
auto-certification aux utilisateurs.

Mais bon, j'engage ma responsabilité et c'est là où ça coince sachant
qu'aucune sécurité est fiable de nos jours. C'est du grand n'importe quoi en
fait. Vu que rien n'est certifié inviolable aujourd'hui (quand on voit que
yahoo arrivent à se faire piquer des millions de login, que n'importe quel
téléphone peut se faire hacker), j'en conclu qu'on peu très vite se retrouver
avec un procès aux .... et donc encore une fois l'argent est la solution ->se
payer un bon avocat afin d'être tranquille.

Franchement, il y a un truc qui ne va pas et je vois mal cette loi être
appliquée sans éclaircissement, précisions et assoupissement.

JP


+1
de plus c 'est inapplicable au sites marchands qui ont leur propre soft
Les gros iront sans soute se faire heberger a l'etranger, si c pas deja
fait

--
-------------------------------------------------------------
www.ctc-soft.com
Gestion biblo-documentaire (free-share)
Comptabilité shareware
Logiciels de Gestion de saisie terrain
Spécialisé Tournées de boulangers
-------------------------------------------------------------
Posté le 19 avril 2017 - 18:19
"ÿÿÿÿÿÿÿ" a écrit :
JPE a écrit :
Merci Gad.

C'est ce qu'il me semblait. Ce que je vais faire dans un 1er temps, est
d'enlever la partie gestion règlement pour les assimilés à la TVA.
Et laisser la totalité aux auto-entrepreneurs puisqu'ils ne sont pas
assujetti à la TVA.

Dans un second temps, j'ajouterai ce qu'il faut au niveau technique (calcul
d'un hash à chaque ligne de la base de données pour les lignes de documents
et les règlements dépendantes de la précédente) afin de respecter les
exigences de la loi. Une fois cela fait, je pourrai fournir une
auto-certification aux utilisateurs.

Mais bon, j'engage ma responsabilité et c'est là où ça coince sachant
qu'aucune sécurité est fiable de nos jours. C'est du grand n'importe quoi
en fait. Vu que rien n'est certifié inviolable aujourd'hui (quand on voit
que yahoo arrivent à se faire piquer des millions de login, que n'importe
quel téléphone peut se faire hacker), j'en conclu qu'on peu très vite se
retrouver avec un procès aux .... et donc encore une fois l'argent est la
solution ->se payer un bon avocat afin d'être tranquille.

Franchement, il y a un truc qui ne va pas et je vois mal cette loi être
appliquée sans éclaircissement, précisions et assoupissement.

JP

Et encore tu as la possibilité de faire une attestation car tu es éditeur de
logiciel.
De notre côté, nous sommes une chaîne de magasins de déco et on développe
notre propre caisse...
Dans ce cas, certification par un tiers obligatoire (donc INFOCERT ou LNE),
l'attestation n'est pas valable.

En gros c'est du 8 000 ¤ / année...
Sans parler des mises à jours annuels du référentiel qui vont imposer du
développement...
Bref, on perd (presque) tout l'intérêt de développer en interne...


ca va coincer ca....
parce que les plus gros sont dans ce cas justement

attendons encore un peu ...

--
-------------------------------------------------------------
www.ctc-soft.com
Gestion biblo-documentaire (free-share)
Comptabilité shareware
Logiciels de Gestion de saisie terrain
Spécialisé Tournées de boulangers
-------------------------------------------------------------
Posté le 19 avril 2017 - 18:25
Fabrice Harari vient de nous annoncer :
Bonjour,

rien n'empêche ton patron de faire une structure d'éditeur de logiciel ,
c'est plus simple .

je suis d'accord... Externaliser le service informatique dans une autre
structure juridique, lui acheter le soft, et lui faire faire l'attestation...

Et au passage, revendre le soft à d'autres boites pour que ca rapporte de
l'argent au lieu d'en couter...

Problème ou opportunité ?

Cordialement


la c 'est l'urssaf qui te tombe dessus...
salaire deguisé,quand une structure n'a qu'un seul client...

a plus

--
-------------------------------------------------------------
www.ctc-soft.com
Gestion biblo-documentaire (free-share)
Comptabilité shareware
Logiciels de Gestion de saisie terrain
Spécialisé Tournées de boulangers
-------------------------------------------------------------
Membre enregistré
198 messages
Popularité : +2 (2 votes)
Posté le 19 avril 2017 - 18:25
Fabrice Harari a écrit :
Bonjour,

rien n'empêche ton patron de faire une structure d'éditeur de logiciel ,
c'est plus simple .


je suis d'accord... Externaliser le service informatique dans une autre
structure juridique, lui acheter le soft, et lui faire faire
l'attestation...

Et au passage, revendre le soft à d'autres boites pour que ca rapporte
de l'argent au lieu d'en couter...

Problème ou opportunité ?

Cordialement

Bonjour,
oui , c'est ça , on n'est bien d'accord , seul les petites structures ne pourront pas le faire , en attendant ,ça contourne le soucis et c'est 100% légal . La NF525 est un bon coup de marketing pour ceux qui savent (ou qui peuvent) s'en servir , un plus quoi .aucun intérêt pour un soft interne , donc il faut externaliser la conception et l'édition des logiciels de gestion .
Posté le 19 avril 2017 - 20:56
GAD a écrit :
JPE a écrit :
Merci Gad.

C'est ce qu'il me semblait. Ce que je vais faire dans un 1er temps, est d'enlever la partie gestion règlement pour les assimilés à la TVA.
Et laisser la totalité aux auto-entrepreneurs puisqu'ils ne sont pas assujetti à la TVA.

JP
bonjour,

ATTENTION !!!!
les auto entrepreneurs sont exonéré de TVA mais bien assujetti , la loi et pour eux aussi .... même pour ceux qui font de l'export (qui donc ne facture pas de tva)
cette loi est dangereuse (comme beaucoup d'autre) car elle peux être mal compris
désolé .



Oui donc ma dernière solution est de virer toute saisie de règlement. Et encore, que j'ai vu que Excel aller être dans le même sac. Donc retour au papier et au crayon pour ceux qui font peu de factures, cela leur évitera de payer des logiciels onéreux. Surtout que les auto-entrepreneurs étaient heureux de se lancer sans avoir à investir le moindre euro dans un logiciel de devis et factures gratuit.
Posté le 19 avril 2017 - 23:02
Bonjour,

Problème ou opportunité ?

Cordialement

la c 'est l'urssaf qui te tombe dessus...
salaire deguisé,quand une structure n'a qu'un seul client...


Comme je le disais :
>> Et au passage, revendre le soft à d'autres boites pour que ca rapporte
>> de l'argent au lieu d'en couter...

Sisi, il faut lire jusqu'à la fin :-)


Cordialement


--
Fabrice Harari
Consultant WinDev, WebDev et WinDev Mobile International

A votre disposition : WXShowroom.com, WXReplication (open source) et
maintenant WXEDM (open source)

Plus d'information sur http://fabriceharari.com


a plus
Membre enregistré
198 messages
Popularité : +2 (2 votes)
Posté le 20 avril 2017 - 00:11
JPE a écrit :

> Oui donc ma dernière solution est de virer toute saisie de règlement. Et encore, que j'ai vu que Excel aller être dans le même sac. Donc retour au papier et au crayon pour ceux qui font peu de factures, cela leur évitera de payer des logiciels onéreux. Surtout que les auto-entrepreneurs étaient heureux de se lancer sans avoir à investir le moindre euro dans un logiciel de devis et factures gratuit.

bonsoir,
c'est effectivement une piste à explorer de supprimer la possibilité de saisie de règlement ,on peux imaginer juste une coche pour dire que c'est payé ou pas , mais seul un expert en interprétation des lois fiscal pourrait te répondre , c'est du borderline pour l'instant , de plus il est très simple de signé les enregistrements , c'est juste que leur lois est incompréhensible ...
Membre enregistré
3 messages
Posté le 20 avril 2017 - 08:44
GAD a écrit :
JPE a écrit :

Oui donc ma dernière solution est de virer toute saisie de règlement. Et encore, que j'ai vu que Excel aller être dans le même sac. Donc retour au papier et au crayon pour ceux qui font peu de factures, cela leur évitera de payer des logiciels onéreux. Surtout que les auto-entrepreneurs étaient heureux de se lancer sans avoir à investir le moindre euro dans un logiciel de devis et factures gratuit.

bonsoir,
c'est effectivement une piste à explorer de supprimer la possibilité de saisie de règlement ,on peux imaginer juste une coche pour dire que c'est payé ou pas , mais seul un expert en interprétation des lois fiscal pourrait te répondre , c'est du borderline pour l'instant , de plus il est très simple de signé les enregistrements , c'est juste que leur lois est incompréhensible ...


Ce que je comprends c'est qu'il est urgent de ne rien faire, ou alors de préparer. Comme tu dis, il est simple de signer les enregistrements. Par contre je pense que je vais créer une nouvelle table dans la bdd, car actuellement, les lignes des documents (devis, factures, BL, etc..) sont dans la table LigneDocument. Donc si le hachage d'une ligne dépend de la précédente, dès qu'on clôturerait une facture, on ne pourrait plus modifier les devis précédents. Cette nouvelle table serait alimenté quand une facture serait clôturée dans le logiciel (entièrement payée). Elle contiendrait les en-têtes de factures, le détails des lignes et les règlements.
Je vais créer également une autre table, contenant un traçage de toutes les opérations (chaque ligne sera signée également, comme ça aucune modification ou suppression ne sera possible).

Le logiciel est écrit en Windev. Il y a des fois des polémiques à son sujet, mais au moins l'avantage c'est que ça sera rapidement fait.

--
Jean-Pierre Eldin
logiciel Free Devis Factures Gratuit
http://www.free-devis-factures.com
Membre enregistré
198 messages
Popularité : +2 (2 votes)
Posté le 20 avril 2017 - 10:42
De mon coté , j'ai trouvé une solution simple , comme il est interdit par la loi de modifier une facture 'émise' , j'ai considéré que émise était 'imprimer' , donc à l'impression je bloque avec un tag la facture , je copie les enregistrements dans une nouvelle base (sécurisé) et je signe toutes les données ,j'imprime donc ces données avec la signature de l'entête de facture .
je garde les anciennes donnée (d'origine puisse que c'est une obligation fiscal , sans être signé puisque c'est un 'brouillon') et je fais comme avant pour le reste , tout les calculs reste sur ces brouillons , stock paiement etc ... , en cas de contrôle , les données de la base sécurisé doivent correspondre à leurs signature et au données des brouillons sinon c'est que quelqu'un à bidouiller , l'avantage c'est que les modifications suppressions sont autorisé dans le brouillon avant l'impression et que l'on ne change rien dans la logique du logiciel (stock , statistiques etc .....)
même la visu des factures reste sur le brouillon comme ceci on ne change rien au logiciel , la base sécurisé ne sert qu'a justifié les véritables facture imprimer et à contrôler leur différence avec les factures d'origine servant à les avoir créer .
Vu qu'il est obligatoire de donnée une attestation individuelle pour chaque utilisateur , l'air du logiciel gratuit est révolu ou alors tu va délivrer pour chacun de tes utilisateurs une attestation individuelle signé gratuitement (bonjour le boulot) ,puis tu prendra les risques qu'il incombe à cette attestation aussi gratuitement , c'est plus concevable , j'ai le même soucis que toi , j'abandonne le gratuit pour passer au payant , au moins en garde à vu ,je saurais pourquoi je suis la ....
Membre enregistré
3 messages
Posté le 20 avril 2017 - 14:13
Oui, en effet, le fait d'imprimer la facture est l'action qui convient le mieux pour considérer la facture émise. Je pense également a un événement qui est l'envoi par email.

Que veux tu dires par "J'imprime donc ces données avec la signature de l’entête de facture"? Tu veux dire que tu imprimes à partir de la bdd sécurisé et signée?

Comme tu dis, il me semble que le gratuit n'est plus possible. C'est encore une fois navrant pour la liberté de création et d'utilisation. Certains créent, d'autre utilisent, ce principe a toujours existé en informatique et dans d'autres domaines, et là il me semble qu'encore une fois, on ouvre la porte en grand pour les gros éditeurs de logiciel (même le tapis rouge, qu'est ce que 20 000 euros pour eux ) et on la condamne aux petits (s'auto certifier est possible en effet, mais la gestion pour délivrer l'attestation demande du temps non négligeable). Cette loi comme elle est écrite devient un droit d'entrée.

Gad, quel logiciel diffuses-tu?

--
Jean-Pierre Eldin
logiciel Free Devis Factures Gratuit
http://www.free-devis-factures.com
Posté le 20 avril 2017 - 15:31
Bjr,

JPE a exprimé avec précision :


Oui donc ma dernière solution est de virer toute saisie de règlement.


Attends, on est pas concerné s'il n'y a pas de reglements gérés ??????
alors ca ca m'arrange enormement..

Mais la loi dit, logiciel de facturation ...

ALORS ? ON FAIT QUOI ??? SI ON ENCAISSE PAS .?....?..


--
-------------------------------------------------------------
www.ctc-soft.com
Gestion biblo-documentaire (free-share)
Comptabilité shareware
Logiciels de Gestion de saisie terrain
Spécialisé Tournées de boulangers
-------------------------------------------------------------
Posté le 20 avril 2017 - 15:36
GAD a formulé la demande :
Fabrice Harari a écrit :
Bonjour,

rien n'empêche ton patron de faire une structure d'éditeur de logiciel ,
c'est plus simple .


je suis d'accord... Externaliser le service informatique dans une autre
structure juridique, lui acheter le soft, et lui faire faire
l'attestation...

Et au passage, revendre le soft à d'autres boites pour que ca rapporte
de l'argent au lieu d'en couter...

Problème ou opportunité ?

Cordialement

Bonjour,

oui , c'est ça , on n'est bien d'accord , seul les petites structures ne
pourront pas le faire , en attendant ,ça contourne le soucis et c'est 100%
légal . La NF525 est un bon coup de marketing pour ceux qui savent (ou qui
peuvent) s'en servir , un plus quoi .aucun intérêt pour un soft interne ,
donc il faut externaliser la conception et l'édition des logiciels de gestion
.


Faut pas se foutre de leur gueule... si la personne qui a developpé est
dans la piee a coté, meme si c 'est une autre société, ca va tousser
!!!

a plus

--
-------------------------------------------------------------
www.ctc-soft.com
Gestion biblo-documentaire (free-share)
Comptabilité shareware
Logiciels de Gestion de saisie terrain
Spécialisé Tournées de boulangers
-------------------------------------------------------------
Posté le 20 avril 2017 - 16:14
Bonjour,

Faut pas se foutre de leur gueule... si la personne qui a developpé est
dans la piee a coté, meme si c 'est une autre société, ca va tousser !!!


Je n'ai jamais dit de laisser la personne qui a développé dans la pièce
à coté...

J'ai dis qu'une solution possible est de créer une VRAI société externe,
d'y placer le service info, et de vendre le soft à d'autres entreprises...

Ensuite, c'est une question de cout/rapport à calculer dans chaque cas,
mais c'est une solution valide si exécutée correctement.

Bien sur, une autre solution est de :
- ME donner les sources (ou me les vendre pour un euro symbolique)
- ME payer pour faire la modif pour NF525
- ME payer pour faire toutes les mises à jours ensuite

Mais je ne sais pas pourquoi, j'ai l'impression que le patron de la
boîte préfèrerait GAGNER de l'argent avec son soft plutôt que d'en
dépenser... :D

Cordialement


--
Fabrice Harari
Consultant WinDev, WebDev et WinDev Mobile International

A votre disposition : WXShowroom.com, WXReplication (open source) et
maintenant WXEDM (open source)

Plus d'information sur http://fabriceharari.com


a plus
Posté le 20 avril 2017 - 16:59
Bjr,

Fabrice Harari a couché sur son écran :
Bonjour,

Faut pas se foutre de leur gueule... si la personne qui a developpé est
dans la piee a coté, meme si c 'est une autre société, ca va tousser !!!

Je n'ai jamais dit de laisser la personne qui a développé dans la pièce à
coté...


Alors, il faut qu'il se partage en deux... la plupart des cas ca sera
le meme, c 'est la base de ce sujet... l'impossibilité de
s'autocertifier (auto, un seul)

J'ai dis qu'une solution possible est de créer une VRAI société externe, d'y
placer le service info, et de vendre le soft à d'autres entreprises...


Et la marmotte ... parce que un plan marketing complet, tout le monde
sait que ca se fait en quelques jours ... surtout dans un marché pas
concurrentiel du tout, de la facturation et l'encaissement...

Bien sur, une autre solution est de :
- ME donner les sources (ou me les vendre pour un euro symbolique)
- ME payer pour faire la modif pour NF525
- ME payer pour faire toutes les mises à jours ensuite


Mais je ne sais pas pourquoi, j'ai l'impression que le patron de la boîte
préfèrerait GAGNER de l'argent avec son soft plutôt que d'en dépenser... :D


Dans mon cas, si j'etais sur d'etre peinard en ayant depensé une somme
prévue, je saute dessus.... suis a deux doigts de tout plaquer, donc...

> Cordialement

Dsl, d'habitude je te suis dans tes raisonnements, mais la....pas trop
:-)

a plus

--
-------------------------------------------------------------
www.ctc-soft.com
Gestion biblo-documentaire (free-share)
Comptabilité shareware
Logiciels de Gestion de saisie terrain
Spécialisé Tournées de boulangers
-------------------------------------------------------------
Membre enregistré
198 messages
Popularité : +2 (2 votes)
Posté le 20 avril 2017 - 21:25
Bonjour,
Dc a écrit :
Bjr,

Fabrice Harari a couché sur son écran :
Bonjour,

Faut pas se foutre de leur gueule... si la personne qui a developpé est
dans la piee a coté, meme si c 'est une autre société, ca va tousser !!!

Je n'ai jamais dit de laisser la personne qui a développé dans la pièce à
coté...

bonjour,
On parle de loi fiscal , elle est clair sur le sujet , une société d'édition et de développement de logiciel à le droit de faire une attestation pour 1 seul client et même si le gérant et le même pour le client et la société qui utilise le logiciel , c'est comme ça , si il existe de la bidouille , c'est le développeur (même salarié) qui ira au trou (avec le gérant sans doute) .
Les contrôleurs vont juste faire une enquête plus poussé chez l'utilisateur du logiciel , c'est tout , c'est juste pour limiter les 'trafiquants' qui font ceci , çà complique ,car à mon avis ,ça doit être la fête chez certain ...
Je rappelle que le système de signature est une bonne blague pour un hacker qui aura vite fait de trouver la clé dans le soft
Membre enregistré
198 messages
Popularité : +2 (2 votes)
Posté le 20 avril 2017 - 21:33
Dc a écrit :
> Bjr,

Dans mon cas, si j'etais sur d'etre peinard en ayant depensé une somme
prévue, je saute dessus.... suis a deux doigts de tout plaquer, donc...

Cordialement

Dsl, d'habitude je te suis dans tes raisonnements, mais la....pas trop


a plus


Bonsoir,
n'abandonne pas pour une loi que l'on a juste du mal à comprendre , dans 1 an , on en rigolera peux être , si tu décortique cette loi , tu comprends en faites qu'ils veulent juste une signature sur les règlements , mais comme c'est vague , faut faire 'ceinture et bretelle' et signer les factures qui correspondent au règlement , voir même , les devis qui ont servi à faire les commandes qui elles même ont servis à faire les factures ;(
Membre enregistré
3 messages
Posté le 21 avril 2017 - 14:38
Plus je me documente, plus je vois que l'inaltérabilité et le reste porte sur les règlements. Donc comme tu dis Gad, dans un 1er temps je vais enlever la partie saisie de lignes de règlements et ajouter une case à cochée "Payée" et le mode de règlement.

Par contre, tous les petits sites qui reposent sur des moteurs comme Prestashop qui s'occupe "automatiquement" des paiements Paypal et autre sont mal, ils peuvent déjà fermer ou alors payer l'amende tous les 6 mois en cas de contrôle.

Ce qui est le plus impressionnant avec tout ça, c'est que les sociétés honnêtes (qui sont majoritaires) vont devoir mettre la clé sous la porte puisque la majorité des petits sites de ventes sont basés sur des outils open sources et donc non certifiable ou éditeur n’émettant aucune attestation, et les société qui font du black direct (espèce directement dans la poche) eux pourront continuer.

La question est : quand est-ce que les personnes concernées, pouvant apporter des réponses, voir adaptant la loi vont réagir?

--
Jean-Pierre Eldin
logiciel Free Devis Factures Gratuit
http://www.free-devis-factures.com
Membre enregistré
198 messages
Popularité : +2 (2 votes)
Posté le 21 avril 2017 - 14:45
Bonjour ,
il y a une notion de 'cloture' (conservation) et d'archivage dans le bulletin officiel ,la nf525 doit le traiter aussi , quelles sont pour ceux qui on traiter le sujet vos solutions ?
Pour l'archivage , c'est apparemment au maxi d'un an avec le choix de la périodicité , je pense qu'il suffit de faire une table avec une date, un numéro,un hash et une signature du fichier de sauvegarde de la base de donnée complète (pour donner une valeur exact est intangible à cette sauvegarde) , qu'en penser vous car c'est un peu flou .
Membre enregistré
18 messages
Posté le 21 avril 2017 - 15:13
Il y a aussi le fait que l'administration doit pouvoir accéder aux données archivées même si le logiciel/matériel a changé.
Pour ça, l'archive et/ou la sauvegarde de la BDD n'est pas suffisante.
De mon côté, je pense faire un fichier des écritures comptables, avec signature globale du fichier. Au moins c'est du CSV, donc lisible sous Excel ou équivalent, et le format est parfaitement documenté.
Membre enregistré
198 messages
Popularité : +2 (2 votes)
Posté le 21 avril 2017 - 18:09
Je suis d'accord , mais comme on ne grave pas dans le marbre , il faut forcement un 'lecteur' pour le fichier ou un pilote ODBC pour les fic ou xls , sinon en natif texte .txt et la seul solution.
L'avantage de garder les fichiers Fic , c'est que l'on peut sans servir de restauration sinon il y aura un archivage et une sauvegarde ....
après wdmap est un utilitaire pour lire et exporter les fichiers fic sans le logiciel qui les a créer , d'ailleurs les impôts se servent des fichiers fic. pendant un contrôle est non des exports texte (ça m'est arrivé , ils ont voulu le passe des fichiers alors qu'un export des fichiers en txt existait)
Posté le 21 avril 2017 - 18:20
Jean-Pierre a présenté l'énoncé suivant :
Plus je me documente, plus je vois que l'inaltérabilité et le reste porte sur
les règlements. Donc comme tu dis Gad, dans un 1er temps je vais enlever la
partie saisie de lignes de règlements et ajouter une case à cochée "Payée" et
le mode de règlement.

Par contre, tous les petits sites qui reposent sur des moteurs comme
Prestashop qui s'occupe "automatiquement" des paiements Paypal et autre sont
mal, ils peuvent déjà fermer ou alors payer l'amende tous les 6 mois en cas
de contrôle.

Ce qui est le plus impressionnant avec tout ça, c'est que les sociétés
honnêtes (qui sont majoritaires) vont devoir mettre la clé sous la porte
puisque la majorité des petits sites de ventes sont basés sur des outils open
sources et donc non certifiable ou éditeur n’émettant aucune attestation, et
les société qui font du black direct (espèce directement dans la poche) eux
pourront continuer.

La question est : quand est-ce que les personnes concernées, pouvant apporter
des réponses, voir adaptant la loi vont réagir?


+1
rien a enlever, presque rien a rajouter.....

--
-------------------------------------------------------------
www.ctc-soft.com
Gestion biblo-documentaire (free-share)
Comptabilité shareware
Logiciels de Gestion de saisie terrain
Spécialisé Tournées de boulangers
-------------------------------------------------------------
Membre enregistré
18 messages
Posté le 22 avril 2017 - 09:29
Je vais regarder cette histoire de fichier FIC. Mais normalement le fisc dispose de tout ce qu'il faut pour lire les fichiers d'écritures comptables (il existe même un vérificateur de FEC mis en téléchargement par l'administration). Et un CSV n'est rien d'autre qu'un fichier texte formaté.
Membre enregistré
18 messages
Posté le 23 avril 2017 - 09:30
Je vois que les fichiers FIC sont liés à WinDev.
Je n'utilise pas WinDev, et j'ai une base MS-SQL. Donc pas de fichier FIC, et je ne vais pas m'amuser à faire un convertisseur SQL->FIC.
Ça m'étonnerait que le fisc puisse obliger à fournir des fichiers liés à une application particulière.
J'ai déjà le système de sauvegarde/archivage fait au format MS-SQL.
Membre enregistré
18 messages
Posté le 23 avril 2017 - 09:57
Excusez mon message un peu long, mais je me pose des questions sérieuses sur le système de signature.
Je suis en train d'intégrer une signature ECDSA à mon application, et du coup je vois les failles du système et je cherche les moyens de les contourner.
La première faille, c'est que tout est en local. La clé "privée" est donc forcément quelque part sur le PC caisse. On peu essayer de la cacher le mieux possible, au fin fond de la base de données, ou bien profond dans le logiciel, elle est de toutes façons là. Du coup, un bricoleur assez débrouillard doit la trouver en quelques minutes ou quelques heures. Vu que j'utilise openssl, les points d'entrée de la librairie ne doivent pas être trop durs à trouver, et à partir de là le recherche de la clé ne doit être trop sorcière. Je n'ai pas essayé, mais je vois à peu près comment faire.
La deuxième faille vient de ce qui est public. Pour que n'importe qui (le fisc par exemple) puisse vérifier que les enregistrements sont bien signés, il faut diffuser certaines informations
- la clé publique. C'est normal, elle est faire pour ça. Pour ma part je mets la clé publique dans la base de données, mais elle peut aussi être dans un fichier texte ou un PDF ou un document papier associé à l'application.
- la méthode de signature (par exemple SHA1 + ECDSA 224 bits)
- la représentation des données à signer. Par exemple, un ticket c'est un certain nombre de champs. Pour signer ces champs, il faut les mettre en forme d'une certaine façon (dans mon cas au format texte avec séparateur), signer cette mise en forme et stocker la signature dans un champ de la base.
Toutes ces informations doivent être "publiques", c'est-à-dire que le client doit pouvoir les fournir au fisc sur demande sans passer par l'éditeur, et que le fisc doit pouvoir les utiliser pour vérifier.
Mais avec ces informations, rien n'empêche un bricoleur un peu débrouillard
- de se générer une clé privée à lui, et la clé publique associée
- de reprendre chaque enregistrement de la BDD, de le mettre en forme comme documenté et de signer avec sa clé privée
- de publier sa clé publique au lieu de la clé d'origine, les autres informations sont inchangées.
Bien sûr, entre temps, il aura pu modifier ce qu'il voulait dans les données d'origine.

J'ai beau tourner ça dans tous les sens, je ne vois pas de parade.
Membre enregistré
198 messages
Popularité : +2 (2 votes)
Posté le 24 avril 2017 - 10:30
bonjour,
quand il y a un contrôle des impôts ,il demande à l'éditeur des explications ,c'est la que tu confirme ou pas ta clé public , il faut avoir un petit dossier sur la structure et la sécurité à leurs données, tu peux créer ta clé public à chaque lancement du logiciel comme ecdsa224_tonsoft_3.xx.clé
si les services fiscaux n'ont que les fichiers d'archives au format txt de ton logiciel , c'est effectivement bien compliqué pour eux car l'utilisateur à pu tout créer tout seul dans son coin avec ses propres clés .....
c'est pas terrible comme sécurité mais c'est mieux que rien , avant c'était rien .... sans oublier que les factures/tickets édités par ton logiciel possède les signatures dessus (ou une partie)
ils peuvent facilement voir si il a bidouillé en ayant q'un seul ticket ou facture d'origine émise par son système .
Posté le 24 avril 2017 - 11:51
Bonjour..

une solution au problème est de répliquer (avec WXReplication, bien sur
:-) )les fichiers concernés (ou mieux, toute la base) sur un de VOS
serveurs...

Vous vendez alors la prestation au client (c'est une sauvegarde en temps
quasi réel), donc c'est une source d'argent au lieu d'être un cout..

Le client n'a PAS accès physique au fichiers répliqués sur votre
serveur, donc ces données ne sont pas modifiables.

Toute modif faite en local à la main n'est PAS répliquée (c'est du au
mode de fonctionnement de WXReplication)...

Si jamais ils arrivent quand même à tout craquer, y compris comment
fonctionne WXReplication et écrire leurs modifs dans WXReplication pour
les propager sur le serveur, tout ce qu'il auront fait c'est écrire leur
actions illégales dans superbe log sur le serveur (le fichier
WXReplication contient toutes les modifs faites avec la date et heure).

La clé de sécurité, ici, est leur impossibilité à accéder aux données
sur VOTRE serveur...

Et pour savoir si une modif locale a été faite, une simple comparaison
de checksum entre les fichiers locaux et serveur vous le dira
(utilitaire inclus dans WXReplication).

VOUS êtes protégés des actions illégales des clients.

En fait, logiquement, avec ce système, le coup de la signature de chaque
enreg devient inutile (mais bon, s'il est obligatoire, il est obligatoire)

Cordialement


--
Fabrice Harari
Consultant WinDev, WebDev et WinDev Mobile International

A votre disposition : WXShowroom.com, WXReplication (open source) et
maintenant WXEDM (open source)

Plus d'information sur http://fabriceharari.com


Le 4/24/2017 à 2:30 AM, GAD a écrit :
bonjour,
quand il y a un contrôle des impôts ,il demande à l'éditeur des
explications ,c'est la que tu confirme ou pas ta clé public , il faut
avoir un petit dossier sur la structure et la sécurité à leurs données,
tu peux créer ta clé public à chaque lancement du logiciel comme
ecdsa224_tonsoft_3.xx.clé
si les services fiscaux n'ont que les fichiers d'archives au format txt
de ton logiciel , c'est effectivement bien compliqué pour eux car
l'utilisateur à pu tout créer tout seul dans son coin avec ses propres
clés .....
c'est pas terrible comme sécurité mais c'est mieux que rien , avant
c'était rien .... sans oublier que les factures/tickets édités par ton
logiciel possède les signatures dessus (ou une partie)
ils peuvent facilement voir si il a bidouillé en ayant q'un seul ticket
ou facture d'origine émise par son système .
Membre enregistré
198 messages
Popularité : +2 (2 votes)
Posté le 24 avril 2017 - 14:30
Bonjour,
oui fabrice , une sécurité en plus ,mais cela comme à faire beaucoup ,d'ailleurs les sites internet (ou les données ne sont pas accessible par les clients ne sont pas plus 'fiable' pour les services fiscaux).
Pour l'instant je suis sur la 'cloture' (conservation) et l'archivage quelles sont pour ceux qui on traiter le sujet vos solutions ? (NF525 ou pas )
Posté le 24 avril 2017 - 14:48
Bonjour,

oui fabrice , une sécurité en plus ,mais cela comme à faire beaucoup
,d'ailleurs les sites internet (ou les données ne sont pas accessible
par les clients ne sont pas plus 'fiable' pour les services fiscaux).


On s'en fiche... Le but n'est pas de faire plaisir aux services fiscaux,
le but est de pouvoir leur prouver que tu peux mettre à leur disposition
les VRAI écritures, non modifiées, si le client a réussi à casser ta
protection locale.

C'est pour TE protéger (et au passage, gagner de l'argent au lieu d'en
dépenser avec cette loi)

Cordialement


--
Fabrice Harari
Consultant WinDev, WebDev et WinDev Mobile International

A votre disposition : WXShowroom.com, WXReplication (open source) et
maintenant WXEDM (open source)

Plus d'information sur http://fabriceharari.com
Membre enregistré
198 messages
Popularité : +2 (2 votes)
Posté le 24 avril 2017 - 16:01
bonjour
Désolé , le but est de suivre les directives fiscal et donc de faire plaisir au service fiscaux , les données doivent être :
190
Cette conservation est opérée, soit en ligne, c'est-à-dire dans le logiciel ou système, soit dans une archive dans le respect des conditions d'archivage détaillées au I-B-4 § 220 à 260
220
Le logiciel de comptabilité ou de gestion ou le système de caisse doit permettre d'archiver les données enregistrées selon une périodicité choisie, au maximum annuelle ou par exercice. La procédure d'archivage a pour objet de figer les données et de donner date certaine aux documents archivés. Elle doit prévoir un dispositif technique garantissant l'intégrité dans le temps des archives produites et leur conformité aux données initiales de règlement à partir desquelles elles sont créées. Les archives peuvent être conservées dans le système lui-même ou en dehors du système lorsqu'il existe une procédure de purge.
Apparement cela reste 'en ligne' pour eux 'c'est-à-dire dans le logiciel ou système'

ça reste bien tordu même si on veux bien faire , je ne sais même pas comment faire pour des versions clients/serveur ...chaque poste fait une archive :o
Posté le 25 avril 2017 - 09:57
Bjr,

Fabrice Harari a présenté l'énoncé suivant :
Bonjour..

Le client n'a PAS accès physique au fichiers répliqués sur votre serveur,
donc ces données ne sont pas modifiables.

Toute modif faite en local à la main n'est PAS répliquée (c'est du au mode de
fonctionnement de WXReplication)...
Cordialement


Fabrice, ce que tu sembles ne pas avoir compris vient de l'origine meme
de cette loi.
Renseigne-toi sur ce qui se passait :
Des éditeurs de soft etaient complices des utilisateurs pour procéder à
des modifications de ventes a posteriori.
L'important, est que en plus des utilisateurs, les éditeurs PRENAIENT
PART a la fraude.

La loi qui nous pose des problemes impose donc que MEME l'editeur du
logiciel, s'il le voulait ne pourrait pas modifier à postériori les
ecritures. Cela m'aurait semblé impossible mais,
D'apres toutes les discussions la dessus, il semblerait que la
signature des lignes interdit la modification par QUI QUE CE SOIT a
posteriori.

Une replication, stockée chez l'editeur du soft est donc completement
inutile.
Cela marcherait, si on proposait (et qu'ils acceptaient) que la
réplication soit envoyé aux services fiscaux. (Comme aux USA je
crois..)

voila pour le peu que j'ai compris a ce "bordel"......

a plus

--
-------------------------------------------------------------
www.ctc-soft.com
Gestion biblo-documentaire (free-share)
Comptabilité shareware
Logiciels de Gestion de saisie terrain
Spécialisé Tournées de boulangers
-------------------------------------------------------------
Membre enregistré
198 messages
Popularité : +2 (2 votes)
Posté le 25 avril 2017 - 12:39
Bonjour,
en faites , seul certain développeur (et hacker lol) on accès à la clé privé de la signature , ça limite les fuites et les gardes à vu.
Le but étant exclusivement de limité les trafics et de limité les possibilités de bidouillé , jamais de les stopper , ce serait une utopie de nos jours .
l'idée de fabrice étant de se protéger contre l'utilisateur (pendant la garde à vu lol) , grâce à son système ,il peut prouver la mauvaise fois de son utilisateur mais pas du tout de ça bonne fois (car il pourrait effectivement être de 'mèche')
c'est une idée intéressante pour se protégé en tant que développeur mais cela ne concerne pas les obligations à avoir envers les services fiscaux (une seul écriture de la facture imprimé et de ses règlements sur un webservice suffit d'ailleurs à son idée)
Posté le 25 avril 2017 - 13:07
Bonjour,

D'apres toutes les discussions la dessus, il semblerait que la signature
des lignes interdit la modification par QUI QUE CE SOIT a posteriori.



Beuhhhh... il me faudrait un bon 15 minutes max pour écrire une
moulinette qui reprenne TOUTES Les lignes du fichier pour recalculer
toutes les signatures, ligne après ligne.

Donc, on fait toutes les modifs de triche, on lance la moulinette, et
hop, tout signé bien propre sur lui, le fichier....

Ils n'ont pas un seul informaticien sous la main, les blaireaux qui
écrivent ces lois ?



Une replication, stockée chez l'editeur du soft est donc completement
inutile.
Cela marcherait, si on proposait (et qu'ils acceptaient) que la
réplication soit envoyé aux services fiscaux. (Comme aux USA je crois..)


Maintenant, je ne dis pas de mettre en place une réplication A LA PLACE
du reste, je dis en plus pour que :
- SI le client essaye de tricher sur ses fichiers locaux
- TU(nous) puissions prouver NOTRE bonne foi en fournissant les VRAI
écritures aux impôts et que NOTRE responsabilité ne soit pas mise en
cause...

C'est vrai que pour un informaticien qui veut tricher avec ses clients,
ca n'aide pas (mais ce n'est pas le but), vu qu'il peut tricher des 2 cotés.

Mais pour la grande majorité de gars honnêtes qui sont emmerdés, par
contre, ca les protègerait bien...

Donc, non, je ne pense pas que ca serait inutile, la peur d'un certain
nombre de développeurs exprimée ici étant que quelqu'un arrive à
contourner leur protection locale et qu'ILS soient responsables.

La méthode de répliquer les fichiers leur fournirait un très fort
élément de preuve de leur bonne foi.

Cordialement


--
Fabrice Harari
Consultant WinDev, WebDev et WinDev Mobile International

A votre disposition : WXShowroom.com, WXReplication (open source) et
maintenant WXEDM (open source)

Plus d'information sur http://fabriceharari.com

voila pour le peu que j'ai compris a ce "bordel"......

a plus
Posté le 26 avril 2017 - 15:10
Le 25/04/2017 à 11:07, Fabrice Harari a écrit :
Bonjour,

D'apres toutes les discussions la dessus, il semblerait que la
signature des lignes interdit la modification par QUI QUE CE SOIT a
posteriori.


Beuhhhh... il me faudrait un bon 15 minutes max pour écrire une
moulinette qui reprenne TOUTES Les lignes du fichier pour recalculer
toutes les signatures, ligne après ligne.

Donc, on fait toutes les modifs de triche, on lance la moulinette, et
hop, tout signé bien propre sur lui, le fichier....

Ils n'ont pas un seul informaticien sous la main, les blaireaux qui
écrivent ces lois ?



Une replication, stockée chez l'editeur du soft est donc completement
inutile.
Cela marcherait, si on proposait (et qu'ils acceptaient) que la
réplication soit envoyé aux services fiscaux. (Comme aux USA je crois..)


Maintenant, je ne dis pas de mettre en place une réplication A LA PLACE
du reste, je dis en plus pour que :
- SI le client essaye de tricher sur ses fichiers locaux
- TU(nous) puissions prouver NOTRE bonne foi en fournissant les VRAI
écritures aux impôts et que NOTRE responsabilité ne soit pas mise en
cause...

C'est vrai que pour un informaticien qui veut tricher avec ses clients,
ca n'aide pas (mais ce n'est pas le but), vu qu'il peut tricher des 2
cotés.

Mais pour la grande majorité de gars honnêtes qui sont emmerdés, par
contre, ca les protègerait bien...

Donc, non, je ne pense pas que ca serait inutile, la peur d'un certain
nombre de développeurs exprimée ici étant que quelqu'un arrive à
contourner leur protection locale et qu'ILS soient responsables.

La méthode de répliquer les fichiers leur fournirait un très fort
élément de preuve de leur bonne foi.

Cordialement



Salut Fabrice,

Le principe de la signature des lignes c'est pour éviter les
manipulation "basiques" d'un utilisateur indélicats, pas plus.

C'est l'impression d'une partie de la signature de l'entête qui garanti
la "fiabilité" de la protection, il suffit à un contrôleur de venir chez
un commerçant et de récupérer un ticket "incognito" et de revenir 2 mois
plus tard voir si le duplicata de ce même ticket correspond à la
signature de l'original ... bon courage pour celui qui voudra modifier
des valeurs et tomber sur les même signatures (même si le super hacker
arrive à trouver la clé privée planquée dans le code)

Fred.
Membre enregistré
198 messages
Popularité : +2 (2 votes)
Posté le 26 avril 2017 - 18:10
Fredo a écrit :
Le 25/04/2017 à 11:07, Fabrice Harari a écrit :
Salut Fabrice,

Le principe de la signature des lignes c'est pour éviter les
manipulation "basiques" d'un utilisateur indélicats, pas plus.

C'est l'impression d'une partie de la signature de l'entête qui garanti
la "fiabilité" de la protection, il suffit à un contrôleur de venir chez
un commerçant et de récupérer un ticket "incognito" et de revenir 2 mois
plus tard voir si le duplicata de ce même ticket correspond à la
signature de l'original ... bon courage pour celui qui voudra modifier
des valeurs et tomber sur les même signatures (même si le super hacker
arrive à trouver la clé privée planquée dans le code)

Fred.

bonsoir
c'était le cas avant aussi , :) :D , pas besoin de signature pour comparer le numéro et le montant du ticket d'origine récupérer "incognito"....
Posté le 03 mai 2017 - 09:18
Bonjour,

Voila une certification beaucoup plus intelligemment réalisée. Il n'y a pas d'ISO 9001 au milieu qui évite beaucoup de paperasse inutile.

https://www.lne.fr/fr/certification/certification-systemes-caisse.asp

De plus, le pdf est téléchargeable gratuitement.
Posté le 15 mai 2017 - 09:38
Bonjour,

j'ai une question bête mais dans cet article du BOI
<<Les systèmes de caisse doivent, de plus, prévoir obligatoirement une clôture journalière et une clôture mensuelle. Pour chaque clôture - journalière, mensuelle et annuelle (ou par exercice) - des données cumulatives et récapitulatives, intègres et inaltérables, doivent être calculées par le système de caisse, comme le cumul du grand total de la période et le total perpétuel pour la période comptable>>

que doit-on comprendre par "grand total" et "total perpétuel" ?

concrètement c'est quoi ? car même le lien vers "les données concernées" ne donne de définition claire de ce dont il est question.

pour l'instant j'ai dans une table la somme de chaque moyen de paiement sur deux totaux (encaissement et avoir) et la somme de chaque taux de TVA perçu (sans tenir compte des remboursements). J'ai ces valeurs par clôture de caisse (journalière à priori), par mois et depuis l'installation du logiciel. Cela correspond-il à cette notion dont je ne trouve aucune définition ?

Merci

NB: il est fait mention ici même du point Point 7.1.4 de la NF525...mais je compte certifier moi même le soft, donc ce dont j'ai besoin c'est de la définition légale et publique et non pas de celle de la marque NF525 qui n'en est, au mieux, qu'une interprétation...si la NF525 était la référence, elle serait automatiquement gratuite d'ailleurs.
Posté le 24 mai 2017 - 12:02
Bonjour,
je "découvre" cette nouvelle obligation à appliquer aux logiciels.
Comment faites-vous du coup pour faire un hashcode d'une ligne ?
Vous prenez des éléments tels que quantité, prix unitaire, prix total d'une ligne de facture et vous faites une chaine de texte du genre "qté pu pt" que vous cryptez avec par exemple elliptic curve et vous stockez la valeur de cette chaine texte dans une rubrique de cette même ligne de facture.
C'est bien ça ?
J'ai du mal à comprendre le principe de crytpage, car Windev crypte déjà les fichiers dans la base de données, en RC5 par exemple.
Merci
Membre enregistré
18 messages
Posté le 24 mai 2017 - 13:35
Simon a écrit :
Bonjour,
je "découvre" cette nouvelle obligation à appliquer aux logiciels.
Comment faites-vous du coup pour faire un hashcode d'une ligne ?
Vous prenez des éléments tels que quantité, prix unitaire, prix total d'une ligne de facture et vous faites une chaine de texte du genre "qté pu pt" que vous cryptez avec par exemple elliptic curve et vous stockez la valeur de cette chaine texte dans une rubrique de cette même ligne de facture.
C'est bien ça ?


C'est comme ça que je l'ai compris

> J'ai du mal à comprendre le principe de crytpage, car Windev crypte déjà les fichiers dans la base de données, en RC5 par exemple.

D'abord tout le monde ne travaille pas avec Windev.
Ensuite ce n'est pas un cryptage, mais une signature. Ça utilise les mêmes algorithmes, mais pour un résultat différent.

Merci
Message modifié, 24 mai 2017 - 13:36
Posté le 28 mai 2017 - 20:45
je ne connais pas Windev, mais je suppose que même si la base est cryptée, il est possible de la consulter, et donc d'altérer les informations, ce que veux interdire cette loi.

l'idée généralement retenue est de calculer un SHA256 de la ligne et de crypter ce hash pour obtenir une signature de la ligne. En incluant la signature de la ligne précédente dans le le calcule du hash on rend impossible d'insérer une ligne entre les deux (sauf à recalculer le hash de toutes les lignes suivantes).

personnellement chaque ligne est remontée en temps réel sur un site internet sur lequel le client n'a pas la main. A chaque nouvelle insertion, je vérifie que la signature est valide et marque en erreur chaque ligne pour laquelle ce n'est pas le cas. C'est alors soit un problème technique qu'il m'appartient de gérer, soit une tentative de modification des données par le client qui est alors mise en évidence et dont il est responsable.

reste à gérer le cas d'un problème de connexion au site central qui implique un stockage temporaire des données sur le disque du PC...dans ce cas je ne vois pas de solution inviolable sauf à avoir recours à un dispositif matériel...mais il reste possible de compliquer la vie des hackers potentiels.
Posté le 29 mai 2017 - 14:21
Bonjour,


Le 5/28/2017 à 12:45 PM, Execute a écrit :
je ne connais pas Windev, mais je suppose que même si la base est
cryptée, il est possible de la consulter, et donc d'altérer les
informations, ce que veux interdire cette loi.


Non... si la base est crypté et que tu ne connais ni la clé de cryptage,
ni le type de cryptage, tu ne peux pas.


l'idée généralement retenue est de calculer un SHA256 de la ligne et de
crypter ce hash pour obtenir une signature de la ligne. En incluant la
signature de la ligne précédente dans le le calcule du hash on rend
impossible d'insérer une ligne entre les deux (sauf à recalculer le hash
de toutes les lignes suivantes).


Ce qui n'a rien à voir avec le problème précédent.

personnellement chaque ligne est remontée en temps réel sur un site
internet sur lequel le client n'a pas la main. A chaque nouvelle
insertion, je vérifie que la signature est valide et marque en erreur
chaque ligne pour laquelle ce n'est pas le cas. C'est alors soit un
problème technique qu'il m'appartient de gérer, soit une tentative de
modification des données par le client qui est alors mise en évidence et
dont il est responsable.


C'est à mon avis la seule technique qui te mets vraiment à l'abri.

reste à gérer le cas d'un problème de connexion au site central qui
implique un stockage temporaire des données sur le disque du PC...dans
ce cas je ne vois pas de solution inviolable sauf à avoir recours à un
dispositif matériel...mais il reste possible de compliquer la vie des
hackers potentiels.


Déjà, sur ton serveur, tu peux noter les interruptions de connexion et
la quantité de données qui arrivent après coup comme évènements suspicieux.

Et si quoi que ce soit a été modifié sur la machine cliente (et donc pas
sur ton serveur), tu peux aussi t'en rendre compte en faisant un CRC de
chaque fichier important de la base (cad à dire un crc des crc des
enregs) et en le comparant à la même chose sur le serveur. C'est un
traitement qui peut être fait en auto chaque nuit et te donner un point
de vérif supplémentaire.

C'est ce que j'ai fait dans wxreplication pour vérifier que mon système
de réplication fonctionnait parfaitement.

Cordialement


--
Fabrice Harari
Consultant WinDev, WebDev et WinDev Mobile International

A votre disposition : WXShowroom.com, WXReplication (open source) et
maintenant WXEDM (open source)

Plus d'information sur http://fabriceharari.com
Posté le 31 mai 2017 - 09:28
Fabrice Harari a écrit :
> Bonjour,
...
Le 5/28/2017 à 12:45 PM, Execute a écrit :

> reste à gérer le cas d'un problème de connexion au site central qui
implique un stockage temporaire des données sur le disque du PC...dans
ce cas je ne vois pas de solution inviolable sauf à avoir recours à un
dispositif matériel...mais il reste possible de compliquer la vie des
hackers potentiels.

Déjà, sur ton serveur, tu peux noter les interruptions de connexion et
la quantité de données qui arrivent après coup comme évènements suspicieux.

Et si quoi que ce soit a été modifié sur la machine cliente (et donc pas
sur ton serveur), tu peux aussi t'en rendre compte en faisant un CRC de
chaque fichier important de la base (cad à dire un crc des crc des
enregs) et en le comparant à la même chose sur le serveur. C'est un
traitement qui peut être fait en auto chaque nuit et te donner un point
de vérif supplémentaire.


mon logiciel DOIT pouvoir fonctionner sans internet, j'ai déjà vécu des pannes de plusieurs jours (merci Orange). Il ne fonctionne d'ailleurs pas en mode connecté, il se contente d'utiliser une API REST pour remonter toutes les transactions en temps réel.

dès lors il est possible d'altérer les données locales si la connexion est coupée (intentionnellement ou pas), mais pas facilement puisque les données sont signées, il font donc identifier la clé publique du logiciel, s'en servir pour décoder la clé de cryptage dédiée à la caisse (puisqu'elle est cryptée) et signer toutes les données modifiées....cela me semble une protection suffisante....l'autre solution étant de supprimer les données (ou de passer par un backup/restore), mais là ça devient impossible à gérer.

PS: toujours personne pour me donner la définition du Grand Total ?

Merci
Membre enregistré
198 messages
Popularité : +2 (2 votes)
Posté le 31 mai 2017 - 11:24
Execute a écrit :
PS: toujours personne pour me donner la définition du Grand Total ?
Merci


Bonjour,
le grand total (cumul) pour moi c'est justement le 'Z'
numZ totalZ cumul
1 100 100
2 150 250
etc ....

je coince surtout sur la définition du total perpétuel pour la période comptable
Posté le 02 juin 2017 - 07:36
Bjr,

Execute a présenté l'énoncé suivant :
matériel...mais il reste possible de compliquer la vie des hackers
potentiels.


Tu n'as pas tout compris.. je ne parle pas de technique mais de
reglementation.
Le but de la loi n'est pas QUE :
- d'empecher des hackers de modifier les ecritures, quels en seraient
leurs interets
- ni d'empecher le commerçant de modifier ses lignes d'écriture

MAIS d'empecher, le CONCEPTEUR MEME du systeme de modifier à posteriori
les lignes d"ecritures

Parce que comme dit dans un autre post, cette loi a été créée à cause
de complicités entre des boites de developpement et les commerçants.

C'est pour ca que la sécurisation est beaucoup plus compliquée.
S'il suffisait d'empécher un épicier de modifier ses fichiers, ca prend
1 heure de boulot...

a plus

--
-------------------------------------------------------------
www.ctc-soft.com
Gestion biblo-documentaire (free-share)
Comptabilité shareware
Logiciels de Gestion de saisie terrain
Spécialisé Tournées de boulangers
-------------------------------------------------------------
Membre enregistré
939 messages
Popularité : +66 (68 votes)
Posté le 02 juin 2017 - 11:24
GAD a écrit :
Execute a écrit :
PS: toujours personne pour me donner la définition du Grand Total ?
Merci


Bonjour,
le grand total (cumul) pour moi c'est justement le 'Z'
numZ totalZ cumul
1 100 100
2 150 250
etc ....

je coince surtout sur la définition du total perpétuel pour la période comptable


bonjour,

le total perpétuel c'est simplement la même chose mais en utilisant que des valeurs absolues.
De sorte d'avoir toujours une trace, même si vous faite un document à 100 € puis un avoir à -100€ votre total perpétuel sera de 200 €. ( en version simplifié :D )
Membre enregistré
198 messages
Popularité : +2 (2 votes)
Posté le 02 juin 2017 - 12:37
Christophe a écrit :
bonjour,

le total perpétuel c'est simplement la même chose mais en utilisant que des valeurs absolues.
De sorte d'avoir toujours une trace, même si vous faite un document à 100 € puis un avoir à -100€ votre total perpétuel sera de 200 €. ( en version simplifié )

bonjour,
à ok , pas bête , merci de l'info :merci: , c'est aberrant de faire les deux quand même .....
il demande ceci pour un logiciel de caisse mais pas pour un logiciel comptable , c'est pousser mémé dans les orties quand même :D
Posté le 12 juin 2017 - 10:27
Christophe a écrit :
GAD a écrit :
Execute a écrit :
PS: toujours personne pour me donner la définition du Grand Total ?
Merci


Bonjour,
le grand total (cumul) pour moi c'est justement le 'Z'
numZ totalZ cumul
1 100 100
2 150 250
etc ....

je coince surtout sur la définition du total perpétuel pour la période comptable

bonjour,

le total perpétuel c'est simplement la même chose mais en utilisant que des valeurs absolues.
De sorte d'avoir toujours une trace, même si vous faite un document à 100 € puis un avoir à -100€ votre total perpétuel sera de 200 €. ( en version simplifié :D )


je ne comprend toujours pas qu'on ne puisse pas trouver une définition de cela quelque part...des tas de gens me disent ce que c'est, mais personne ne me dit d'où vient leur définition :/

dans mon soft j'ai actuellement le total des dépenses et le total des recettes par mode de paiement (espèces, carte, cheque, ticket resto)...ce total perpétuel serait donc la somme (en valeurs absolues) des deux.
Posté le 16 juin 2017 - 10:18
C'était un peu prévisible quand même avec le changement de majorité...

http://www.zdnet.fr/actualites/tva-autoentrepreneurs-et-logiciels-certifies-le-gouvernement-revoit-sa-copie-39853750.htm?utm_campaign=Echobox&utm_medium=Social&utm_source=Twitter#link_time=1497599436





Le 14/01/2015 à 13:22, Yo! a écrit :
Bonjour,

Je ne sais pas si Laurent a posté sur un sujet plus global concernant la
certification NF525, comme il l'avait dit le mois dernier ... fouillé,
rien trouvé.

Je rebondis sur la réponse de Fredo, que je reprends ci-après et je crée
un nouveau post plus global ici (déjà posté ailleurs, peut-être pas au
bon endroit, sans réponse aucune) :

"ll faut donc :
- Cartographie logicielle (tableau excel qui fait le lien entre l'IHM,
le code, l'exigence 525 et la base de donnée)
- Plan de tests <= hyper important !!! surtout pour tout ce qui concerne
la 525.
- Documentation utilisateur à jour
- Suivi des modifications (le gds ne suffit pas)
- ... pleins d'autre trucs qui garantissent à l'auditeur que tu as un
minimum de suivi sur ton produit."

http://forum.pcsoft.fr/fr-FR/pcsoft.fr.windev/177373-securisation-par-signature-electronique-177404/read.awp…

________________________________________________________________________________


1 - Signature électronique => Il me semble qu'il n'est pas obligatoire
de signer chaque ligne mais uniquement l'entête ? La dernière mouture de
la certification le prévoit-elle ? Risque de ralentir drastiquement
l'encaissement tout ça : j'imagine un ticket comportant une cinquantaine
de lignes.

2 - Cartographie au format excel => nous avions commencé sous forme de
logigrammes ... ? Obligatoire au format excel donc (?!). Serait-il
possible d'avoir un exemple, afin d'avoir une idée des colonnes à placer
dans le fichier ? Jusqu'à quel niveau de précision aller ? Toutes les
fonctions doivent-elles être listées lors de l'Audit ou il faut axer la
carto' sur l'aspect sécurisation spécifié dans la 'norme' ?

3 - Plan de test ... certainement une question idiote. Combien de tests
envisager ?

A vous lire.

MERCI !

Yo!
Membre enregistré
198 messages
Popularité : +2 (2 votes)
Posté le 16 juin 2017 - 11:31
Merci de l'info andré
MAIS :
Seuls les logiciels et systèmes de caisse, principaux vecteurs des fraudes constatées à la TVA, seront ainsi concernés.
Seuls les logiciels sous entendus 'de caisse' lol , de nouveau un trou noir ....
Posté le 19 juin 2017 - 11:00
Effectivement cela donne un peu de répit, mais la notion de "logiciel de caisse" reste toujours flou.
Un logiciel de caisse étant différencié en quoi exactement par rapport à un logiciel de facturation ou une gestion commerciale ?
Si le logiciel est associé à des encaissements de type "espèces" donc avec un tiroir caisse, il s'agit d'un logiciel de caisse ?
Si on ne fait que des règlements en virement ou chèque ce n'est plus un logiciel de caisse ?
Membre enregistré
198 messages
Popularité : +2 (2 votes)
Posté le 19 juin 2017 - 15:45
Simon a écrit :
Effectivement cela donne un peu de répit, mais la notion de "logiciel de caisse" reste toujours flou.
Un logiciel de caisse étant différencié en quoi exactement par rapport à un logiciel de facturation ou une gestion commerciale ?
Si le logiciel est associé à des encaissements de type "espèces" donc avec un tiroir caisse, il s'agit d'un logiciel de caisse ?
Si on ne fait que des règlements en virement ou chèque ce n'est plus un logiciel de caisse ?

bonjour,
oui , effectivement , je pense comme ceci aussi , un logiciel qui ne peut pas encaisser d'espèces n'est pas un logiciel de caisse , donc un logiciel qui peut encaisser de l'espèces est un logiciel de caisse ..... ?
en clair les logiciels de gestions de bouygues telecom , free , edf , google etc.. ne seront pas impacté mais les logiciels de coiffeurs, maçon, garagistes,plombier,restaurant,supermarché,bar etc... le seront
Toujours les mêmes dindon de la farce ....
Posté le 20 juin 2017 - 08:47
Le 19/06/2017 à 13:45, GAD a écrit :
Simon a écrit :
Effectivement cela donne un peu de répit, mais la notion de "logiciel
de caisse" reste toujours flou.
Un logiciel de caisse étant différencié en quoi exactement par rapport
à un logiciel de facturation ou une gestion commerciale ?
Si le logiciel est associé à des encaissements de type "espèces" donc
avec un tiroir caisse, il s'agit d'un logiciel de caisse ?
Si on ne fait que des règlements en virement ou chèque ce n'est plus
un logiciel de caisse ?
bonjour,

oui , effectivement , je pense comme ceci aussi , un logiciel qui ne
peut pas encaisser d'espèces n'est pas un logiciel de caisse , donc un
logiciel qui peut encaisser de l'espèces est un logiciel de caisse ..... ?
en clair les logiciels de gestions de bouygues telecom , free , edf ,
google etc.. ne seront pas impacté mais les logiciels de coiffeurs,
maçon, garagistes,plombier,restaurant,supermarché,bar etc... le seront
Toujours les mêmes dindon de la farce ....

En somme ce sont ceux qui touche de l'argent ... directement
Si tu ne fais que les écritures comptables ...sans encaisser de l'argent
d'une manière directe .. VISA / ARGENT / DIGICASH ... tu n'est pas concerné.
C'est cela... comme je le comprends ???
Bon windev
Posté le 21 juin 2017 - 10:33
Marcel Feiereisen a écrit :
Le 19/06/2017 à 13:45, GAD a écrit :
Simon a écrit :
Effectivement cela donne un peu de répit, mais la notion de "logiciel
de caisse" reste toujours flou.
Un logiciel de caisse étant différencié en quoi exactement par rapport
à un logiciel de facturation ou une gestion commerciale ?
Si le logiciel est associé à des encaissements de type "espèces" donc
avec un tiroir caisse, il s'agit d'un logiciel de caisse ?
Si on ne fait que des règlements en virement ou chèque ce n'est plus
un logiciel de caisse ?
bonjour,

oui , effectivement , je pense comme ceci aussi , un logiciel qui ne
peut pas encaisser d'espèces n'est pas un logiciel de caisse , donc un
logiciel qui peut encaisser de l'espèces est un logiciel de caisse ..... ?
en clair les logiciels de gestions de bouygues telecom , free , edf ,
google etc.. ne seront pas impacté mais les logiciels de coiffeurs,
maçon, garagistes,plombier,restaurant,supermarché,bar etc... le seront
Toujours les mêmes dindon de la farce ....
En somme ce sont ceux qui touche de l'argent ... directement

Si tu ne fais que les écritures comptables ...sans encaisser de l'argent
d'une manière directe .. VISA / ARGENT / DIGICASH ... tu n'est pas concerné.
C'est cela... comme je le comprends ???
Bon windev


en fait

<<En application du 3° bis du I de l' article 286 du code général des impôts (CGI) , toute personne assujettie à la taxe sur la valeur ajoutée (TVA) qui enregistre les règlements de ses clients au moyen d'un logiciel de comptabilité ou de gestion ou d'un système de caisse, doit utiliser un logiciel ou un système satisfaisant à des conditions d'inaltérabilité, de sécurisation, de conservation et d'archivage des données en vue du contrôle de l'administration fiscale.>>

quand on prend cette définition, elle est en effet très large...je pourrais être presque concerné en tant que développeur Freelance, puisque je suis assujettie à la TVA (EURL)...sauf que je n'enregistre pas vraiment les règlements de mes clients, j'ai bien un tableau Excel récapitulatifqui fait un rapprochement entre les factures émises (rédigée sous LibreOffice) et les versements reçus sur mon compte en banque, à destination de mon comptable ...mais c'est tout....mais finalement, si j'utilisais un logiciel de facturation avec suivi des paiements, il pourrait bien tomber sous le coup de cette loi...et si je me développais un logiciel de facturation maison avec suivi d'encaissement je serais contraint de le faire certifier puisque je ne peux pas m'autocertifier...c'est dingue cette loi.
Posté le 21 juin 2017 - 14:15
Bjr,

Execute a formulé ce mercredi :
> peux pas m'autocertifier...c'est dingue cette loi.

Qui est en train de changer. donc

a plus

--
-------------------------------------------------------------
www.ctc-soft.com
Gestion biblo-documentaire (free-share)
Comptabilité shareware
Logiciels de Gestion de saisie terrain
Spécialisé Tournées de boulangers
-------------------------------------------------------------
Membre enregistré
198 messages
Popularité : +2 (2 votes)
Posté le 21 juin 2017 - 14:38
Execute a écrit :
Marcel Feiereisen a écrit :
Le 19/06/2017 à 13:45, GAD a écrit :
Simon a écrit :
j'ai bien un tableau Excel récapitulatif qui fait un rapprochement entre les factures émises (rédigée sous LibreOffice) et > > les versements reçus sur mon compte en banque, à destination de mon comptable ..


c'est bien un logiciel qui enregistre les règlements => hop la loi s'applique

en allant plus loin , même si tu n'a pas de tableau excel de rapprochement bancaire ,si sur tes factures il y a les règlements => hop la loi s'applique
Message modifié, 21 juin 2017 - 14:39
Posté le 21 juin 2017 - 19:26
Bjr,

Le 21/06/2017, GAD a supposé :
c'est bien un logiciel qui enregistre les règlements => hop la loi s'applique

en allant plus loin , même si tu n'a pas de tableau excel de rapprochement
bancaire ,si sur tes factures il y a les règlements => hop la loi s'applique


Tu fais expres .
Logiciel de caisse, sous entendu manipulant des ESPECES source de
fraude
on t'a pas dit REGLEMENT ...

j'ai un client qui encaisse des factures qu'il fait a la prefecture
..... Et il gere des "reglements" tu as l'impression qu'il va faire
beaucoup de black avec des virements bancaires de la prefecture ?

allez....

--
-------------------------------------------------------------
www.ctc-soft.com
Gestion biblo-documentaire (free-share)
Comptabilité shareware
Logiciels de Gestion de saisie terrain
Spécialisé Tournées de boulangers
-------------------------------------------------------------
Membre enregistré
198 messages
Popularité : +2 (2 votes)
Posté le 22 juin 2017 - 09:46
l'état a écrit :
"toute personne assujettie à la taxe sur la valeur ajoutée (TVA) qui enregistre les r-è-g-l-e-m-e-n-t-s de ses clients au moyen d'un logiciel de comptabilité"


Dc a écrit :
Tu fais expres .

Logiciel de caisse, sous entendu manipulant des ESPECES source de
fraude
on t'a pas dit REGLEMENT ...
j'ai un client qui encaisse des factures qu'il fait a la prefecture
..... Et il gere des "reglements" tu as l'impression qu'il va faire
beaucoup de black avec des virements bancaires de la prefecture ?
allez....


Bonjour,
je vois que tu ne sais pas lire le mot 'règlements' écrit noir sur blanc dans la première phrase , d'autre part il faut être un lapin de 6 semaines pour croire qu'il n'y a que 'l'espèce' pour faire du black .
Logiciel de caisse : peut-être sous entendu 'qui encaisse' , le comptable n'encaisse pas forcement en faisant une écriture dans son logiciel comptable , je pense que c'est peut-être sur ceci qu'il veulent légiférer différemment .
En tout cas , ça bloque les éditeurs car on ne sait plus à qui incombe cette loi , si il faut être au point pour le 01/2018 , ça va pas être simple avec ses sous-entendus , c'est juste ceci qu'il faut retenir de mon intervention
A+
Posté le 22 juin 2017 - 12:35
Bonjour à tous,

je lis vos échanges depuis plusieurs semaines.
Vous n'arrivez pas à vous mettre d'accord quant aux types de logiciels concernés par la nouvelle loi.
Certains considèrent que leur logiciel n'est pas concerné parce qu'ils interprètent les textes à leur manière.
Pourquoi pas, tant qu'il n'y a pas de contrôle.
Je ne sais pas si certains d'entre vous ont déjà eu un contrôle fiscal mais quand vous êtes face au contrôleur, seule son interprétation compte.
Vous aurez beau lui prouver par A + B que votre logiciel n'entre pas dans le cadre de la loi parce que dans le texte de loi le mot "règlement" est avant la virgule et le mot "espèces" après la virgule, il vous alignera s'il considère que vous êtes en faute.
Après, si vous avez les moyens de payer des frais de procédure pour faire valoir vos droits, là, vos avocats reprendront les débats acharné du site PC Soft sur l'interprétation du texte.

En conclusion, à partir du moment ou vous même avez un doute sur l'application de la loi sur votre logiciel, un contrôleur fiscal peut l'avoir aussi et la sanction peut tomber ou pas ...

Hoc
Posté le 22 juin 2017 - 14:27
Bjr,

GAD a formulé ce jeudi :
En tout cas , ça bloque les éditeurs car on ne sait plus à qui incombe cette
loi , si il faut être au point pour le 01/2018 , ça va pas être simple avec
ses sous-entendus , c'est juste ceci qu'il faut retenir de mon intervention
A+


Si tu restes sur la 1ere loi, d'accord.
Moi je pare de la modification prévue par le nouveau minisre/secretaire
d'etat.

a plus

--
-------------------------------------------------------------
www.ctc-soft.com
Gestion biblo-documentaire (free-share)
Comptabilité shareware
Logiciels de Gestion de saisie terrain
Spécialisé Tournées de boulangers
-------------------------------------------------------------
Posté le 22 juin 2017 - 14:30
Bjr,

Hoci avait énoncé :
Bonjour à tous,

je lis vos échanges depuis plusieurs semaines.


En meme temps que le changement qui fait que la nouvelle loi ne
concerne que les caisses, il est à noter aussi que les directives
envers les services fiscaux changent egalement.
Ils auront pour consigne de conseiller au lieu de sanctionner, ce qui
peut changer pas mal les choses.

De toute facon la modification n'est pas parue... donc attendons pour
savoir si elle sera claire ou confuse.

a pus


--
-------------------------------------------------------------
www.ctc-soft.com
Gestion biblo-documentaire (free-share)
Comptabilité shareware
Logiciels de Gestion de saisie terrain
Spécialisé Tournées de boulangers
-------------------------------------------------------------
Posté le 22 juin 2017 - 14:34
Re ..

GAD a utilisé son clavier pour écrire :
d'autre part il faut être un lapin de 6 semaines pour
croire qu'il n'y a que 'l'espèce' pour faire du black .


Le lapin de 6 semaines attend que tu lui expliques comment un
commercant blacke avec des virements bancaires

Nous ne sommes pas dans le domaine des fraudes fiscales (evasion
plutot) avec les paradis fiscaux.

J' ai demandé à mon charcutier, il ne connait encore personne aux iles
caimans.
demande au tien....

a plus


--
-------------------------------------------------------------
www.ctc-soft.com
Gestion biblo-documentaire (free-share)
Comptabilité shareware
Logiciels de Gestion de saisie terrain
Spécialisé Tournées de boulangers
-------------------------------------------------------------
Membre enregistré
198 messages
Popularité : +2 (2 votes)
Posté le 22 juin 2017 - 15:33
ta discussion est stérile et hors sujet , mais je vais te donner une info simple sur les cheques au black , tu prends le cheque de ton client , tu efface sa facture , tu paye quelqu'un d'autre avec ce cheque du même montant , évite de me dire que le nom ne corresponds pas puisque la banque ne vérifie pas et au pire j'en connait qui dise 'laissez ... je remplirai .... j'ai un tampon' .
pour les virements , c'est un autre sujet , ce n'est pas à nous de faire la police ou les détectives comme tu le fait , on applique les lois , l'important c'est de savoir à qui s'applique l'obligation d'utilisation d'un logiciel certifié , et à nous de les créer ou de modifiés nos softs .
Posté le 22 juin 2017 - 17:04
Re ...

GAD a formulé ce jeudi :
> ta discussion est stérile et hors sujet ,

c vrai

mais je vais te donner une info
simple sur les cheques au black , tu prends le cheque de ton client , tu
efface sa facture , tu paye quelqu'un d'autre avec ce cheque du même montant
, évite de me dire que le nom ne corresponds pas puisque la banque ne vérifie
pas et au pire j'en connait qui dise 'laissez ... je remplirai .... j'ai un
tampon' .


deja , amuse toi a ca, et lors d'un controle fiscal (personnel, pas
pro) quand on te demande des factures justificatives AVEC les preuves
des reglements correspondants, si ce sont de cheques de clients,
bonjour.....
Mais, tu tournes en rond alors que tu sais tout a fait que le probleme
n'est pas la.

Cette loi qui nous perturbe n'a qu'un but, est le pire qui est
justifié, on en a deja parlé, c 'est d'empecher les commercants qui ont
plusieurs magasins de controler leurs vendeuses a l'euro pres la
journée, et le soir de faire evaporer plusieurs centaines d'euros de
ventes.

tu sais tres bien puisque toi tu es un lapin de plusieurs mois ( lol )
que ca ne se fait QUE avc des logiciels de caisse qui ont l'option clé
usb magique, et pas sur les cheques......

pour les virements , c'est un autre sujet , ce n'est pas à nous de faire la
police ou les détectives comme tu le fait ,


exactement, et je ne "fais pas la loi ni la police " ....

Donc, devant l'impossiblité de certification de beaucoup de grosses
boites qui ne manipulent pas d'especes, un mec pas trop con, a décidé
de simplifier la loi qui va donc s'appliquer a beaucoup moins de monde.
Si ca t'embete, moi ca me rejouit

a plus

--
-------------------------------------------------------------
www.ctc-soft.com
Gestion biblo-documentaire (free-share)
Comptabilité shareware
Logiciels de Gestion de saisie terrain
Spécialisé Tournées de boulangers
-------------------------------------------------------------
Membre enregistré
198 messages
Popularité : +2 (2 votes)
Posté le 22 juin 2017 - 19:00
Dc a écrit :
Re ...
deja , amuse toi a ca, et lors d'un controle fiscal (personnel, pas
pro) quand on te demande des factures justificatives AVEC les preuves
des reglements correspondants, si ce sont de cheques de clients,
bonjour.....

je vois que tu ne comprends pas la manipulation , elle est pourtant courante , tu paye ton plombier qui te répare ton robinet perso avec le cheque de ton client pour une prestation que tu lui à faites , ton plombier sens fou puisqu'il est payé (mais il préfère de l'espèces , bon d'accord , tous le monde est escroc ... lol)
Avec ce genre de logiciel sécurisé, il est aussi plus difficile pour une grosse boite de faire des fausses factures , ou plein d'autre chose encore , puisqu'il peut avoir quelqu'un qui les supprimes de la gestion/compta .
En clair , il est trop facile de stigmatiser les commerçants , les PME ne sont pas plus loyal envers l'état ....
j'ai plusieurs logiciels dont 1 de caisse les autres de gestions , à la limite , je préfère que la loi s'arrête , mais que l'on ne nous prennent pas pour des girouettes
Posté le 23 juin 2017 - 12:29
Bjr,

GAD a exposé le 22/06/2017 :
je vois que tu ne comprends pas la manipulation , elle est pourtant courante
, tu paye ton plombier qui te répare ton robinet perso avec le cheque de ton
client pour une prestation que tu lui à faites , ton plombier sens fou
puisqu'il est payé (mais il préfère de l'espèces , bon d'accord , tous le
monde est escroc ... lol)


Je vois que tu n'as pas compris non plus ce que je disais.
Si tu fais la manip que te decris, mais je suis sur que tu ne le fais
pas, c juste pour parler. Lors d'un controle fiscal personnel, comme,
tu t'en doutes, les agents du fisc connaissent la musique, on te
demande tes factures, par rapport a ce que tu as chez toi, mais aussi,
avec quoi tu as payé .... et la, si tu as payé avec des cheques de
clients, aie aie aie.
Et j'ai eu a tester pour une affaire completement differente (probleme
famille succession) une banque te ressort le scan d'un chèque plus de
10 ans apres ...

Avec ce genre de logiciel sécurisé, il est aussi plus difficile pour une
grosse boite de faire des fausses factures , ou plein d'autre chose encore ,
puisqu'il peut avoir quelqu'un qui les supprimes de la gestion/compta . En


Pourquoi ils iraient supprimer des factures qui sont payées par
virement dans 99.9 % des cas.
Cette fraude la n'est pas organisée autour des logiciels dont on parle.

clair , il est trop facile de stigmatiser les commerçants , les PME ne sont
pas plus loyal envers l'état ....


Ah mais la, on est d'accord ... Personne n'est plus vertueux que
l'autre, y en juste qui ont la possibilité technique de frauder (les
commercants avec l'option "cle usb miracle") et les autres qui n'ont
pas la meme liberté .. c 'est tout. Apres y a aussi ceux qui ont peur
du baton (dont je fais humblement partie) et ceux qui s'en foutent....

j'ai plusieurs logiciels dont 1 de caisse les autres de gestions , à la
limite , je préfère que la loi s'arrête , mais que l'on ne nous prennent pas
pour des girouettes


C'est pour ca, attendons la dernière version de la loi. Si Darmarin a
dit qu'il allait la modifier, il y aura des textes.
On pourra toujours reparler a ce moment de "caisse" et "pas caisse" lol

a plus

--
-------------------------------------------------------------
www.ctc-soft.com
Gestion biblo-documentaire (free-share)
Comptabilité shareware
Logiciels de Gestion de saisie terrain
Spécialisé Tournées de boulangers
-------------------------------------------------------------
Posté le 23 juin 2017 - 12:35
Une pétition à signer pour annuler cette loi (qui n'est pas annulé et non modifié à l'heure actuelle).
Il faut se mobilier dès le début car on risque de se faire bouffer petit à petits par des modifications mineures de cette loi vers toujours plus de contrôle de contrainte et de couts !

http://www.mesopinions.com/petition/politique/obligation-utiliser-logiciel-gestion-conforme-partir/29200

Et cette certification n'arrêtera jamais la fraudes tant que les charges seront à de telle niveau de spoliation...
Sur 100 € TTC et après toutes les taxes, combien reste il' au commerçant dans sa poche à dépenser : 30 €
Posté le 23 juin 2017 - 14:22
Bonjour

nouveau sur ce forum qui vient en complément de celui existant sur la loi de finance 2018, voici quelques infos. Pour avoir lancé la procédure au travers d'un organisme certifié et unique organisme certifiant la NF525, j'ai suivi une formation et fait l'objet d'un audit sur tous mes logiciels de caisses et/ou de facturation simple (ERP) et il en ressort dans tous les cas de figure qu'au minima tous les logiciels de vente doivent répondre au BOI TVA DECLA-30-10-30-20160803
Ensuite comme je l'ai dit sur l'autre forum vous avez deux options soit vous attestez auprès de vos clients que votre logiciel est conforme aux règles du BOI, soit vous le faites certifiés par un organisme xxx comme conforme aux règles soit vous le faites certifiés NF203 ou NF525.

Pour faire simple la 203 NF concerne la facturation en BtoB sans caisse et sans facturation aux particuliers. Dès lors que l'on a facturation aux particuliers il faut faire les grands totaux journaliers donc ,dans mon cas par exemple, on va appliquer les règles de la NF525 à tous les logiciels. En espérant avoir apporté quelques éclaircissements.
Posté le 23 juin 2017 - 18:07
@Laruent : ça sent le commercial qui veut nous vendre ses certifications.
Membre enregistré
198 messages
Popularité : +2 (2 votes)
Posté le 25 juin 2017 - 09:47
Laurent a écrit :
Bonjour

nouveau sur ce forum qui vient en complément de celui existant sur la loi de finance 2018, voici quelques infos. Pour avoir lancé la procédure au travers d'un organisme certifié et unique organisme certifiant la NF525, j'ai suivi une formation et fait l'objet d'un audit sur tous mes logiciels de caisses et/ou de facturation simple (ERP) et il en ressort dans tous les cas de figure qu'au minima tous les logiciels de vente doivent répondre au BOI TVA DECLA-30-10-30-20160803
Ensuite comme je l'ai dit sur l'autre forum vous avez deux options soit vous attestez auprès de vos clients que votre logiciel est conforme aux règles du BOI, soit vous le faites certifiés par un organisme xxx comme conforme aux règles soit vous le faites certifiés NF203 ou NF525.

Pour faire simple la 203 NF concerne la facturation en BtoB sans caisse et sans facturation aux particuliers. Dès lors que l'on a facturation aux particuliers il faut faire les grands totaux journaliers donc ,dans mon cas par exemple, on va appliquer les règles de la NF525 à tous les logiciels. En espérant avoir apporté quelques éclaircissements.


Bonjour Laurent,
merci de tes précisions , je vois qu'ils ont sorti la NF203 pour les logiciels de gestion dit sans 'caisse', au vu de tes affirmations , saurait-tu m'expliquer ce qu'est un 'logiciel ou système de caisse' précisément , et si tu peux étayer ses explications avec des termes et définitions des services fiscaux (si bien sûr cela existe car c'est à mon gout c'est bien interprétable )
merci d'avance
Posté le 26 juin 2017 - 07:20
Bonjour

En fait, pour faire simple dès lots que la facturation s'adresse à des particuliers (qu'il y est des pro ou pas), en matière de marque (NF203 ou NF525) on applique la NF525 avec le chainage des tickets et les grands totaux journaliers.
Le mot gestion de caisse pourrait pour être mieux compris du commun des mortels que nous sommes s'appeler "gestion des ventes" car en fait ce qui fait la différence et çà se comprend c'est la notion de TVA récupérable. Le pro à pro nous récupérons la TVA donc le risque est moindre , par contre dès lors qu'il y a facturation au particulier il y a quelque par risque donc c'est ce mode là qui a le plus de contrainte dans le BOI . En espérant avoir été assez clair sur la différenciation des deux marques.
Membre enregistré
198 messages
Popularité : +2 (2 votes)
Posté le 26 juin 2017 - 10:21
Laurent a écrit :
Bonjour

En espérant avoir été assez clair sur la différenciation des deux marques.


Pas trop non , Je pense que l'histoire de la TVA n'est qu'une excuse pour fliquer les utilisateurs de logiciel , sinon ils auraient exclu les auto-entrepreneur et autre , c'est une loi contre le travail dissimulé et les revenus dissimulé , le problème pour moi se situe toujours au niveau de la différenciation des logiciels , je suppose qu'un logiciel de caisse veut dire qu'il possède un 'livre de caisse' intégrer donc un moyen d'enregistrer des paiements en espèces (tout simplement) , il y a donc beaucoup de logiciel de gestion qui sont assimilés à des logiciel de caisse .
Posté le 26 juin 2017 - 11:23
Il faut dans tous les cas se dire qu'effectivement à court terme tout le monde va y passer J'ai moi même des logiciels de caisses destinés au grand public (coiffeur par exemple) et des clients qui ne voient jamais un client mais qui vendent à du particulier et ce dernier je voulais le faire juste certifier NF203 et il m'a été fortement conseillé de le certifier NF525, différences essentielles : grands totaux journaliers et chainage des factures , tickets et bons de commande.

Tout s'arrête pas qu'à la notion d'espèce tu as aussi la gestion des numéros de réimpressions des tickets et factures identiques pour x clients différents qui est énorme dans la fraude.
Membre enregistré
198 messages
Popularité : +2 (2 votes)
Posté le 26 juin 2017 - 20:36
Laurent a écrit :
> Tout s'arrête pas qu'à la notion d'espèce tu as aussi la gestion des numéros de réimpressions des tickets et factures identiques pour x clients différents qui est énorme dans la fraude.
Oui mais ce n'est pas une obligation fiscal mais une norme de l'acedise
Membre enregistré
18 messages
Posté le 26 juin 2017 - 21:18
GAD a écrit :
Laurent a écrit :
Tout s'arrête pas qu'à la notion d'espèce tu as aussi la gestion des numéros de réimpressions des tickets et factures identiques pour x clients différents qui est énorme dans la fraude.
Oui mais ce n'est pas une obligation fiscal mais une norme de l'acedise


L'obligation fiscale, c'est juste de pouvoir prouver que l'on a tout mis en œuvre pour garantir qu'un ticket terminé ne peut pas être modifié ou supprimé. C'est une obligation de résultat et de moyen, mais le moyen est libre.
Message modifié, 26 juin 2017 - 21:22
Membre enregistré
198 messages
Popularité : +2 (2 votes)
Posté le 26 juin 2017 - 23:23
ANDRE THEVENIN a écrit :
> C'est une obligation de résultat et de moyen, mais le moyen est libre.
une obligation de moyen c'est certain mais pas de résultat car dans le monde de l'informatique , le hacking ou cracking et roi , et ils sont bien meilleurs que les développeurs ...
Posté le 27 juin 2017 - 07:32
Certes mais avec un hash à 2048 octets des clés de cryptage privé et un encodage à 64 bit tout çà sur les lignes, les entêtes , les totaux journaliers, mensuels et des chainages factures, commandes, tickets de caisse l'affaire n'est pas gagnée d'avance.

Mais après chacun est libre de ses choix....
Membre enregistré
18 messages
Posté le 27 juin 2017 - 08:06
GAD a écrit :
ANDRE THEVENIN a écrit :
C'est une obligation de résultat et de moyen, mais le moyen est libre.
une obligation de moyen c'est certain mais pas de résultat car dans le monde de l'informatique , le hacking ou cracking et roi , et ils sont bien meilleurs que les développeurs ...


Sauf que si on lit bien les textes,l'obligation de résultat est là. Même si tout le monde sait bien qu'elle est impossible à tenir.
Posté le 28 juin 2017 - 10:39
Bonjour tout le monde,

Un logiciel de facturation développé en interne (99,9% des factures en pro et le reste aux particuliers) qui ne gère pas les encaissements est-il concerné ?
J'ai vu passer la question mais pas la réponse formelle.

Le texte de loi semble bien indiquer "logiciel qui gère les règlements" donc à priori pas concerné.
Mais les pieds de facture sont exportés de la facturation puis importées en comptabilité (Sage 100)

Le logiciel bloque la modification d'une facture exportée mais par simple test d'un indicateur (exporté ou pas)
Il n'y a pas de clé, de cryptage, d'archivage certifié ou autre.

Alors, au final ?

Merci d'avance.
Posté le 28 juin 2017 - 11:33
Depuis tout à l'heure je suis tombé sur : http://bofip.impots.gouv.fr/bofip/2899-PGP.html

L'article 180 précise :
"Sont donc soumis à contrôle tous les systèmes informatisés comptables, les systèmes de gestion des recettes ou des ventes, et notamment, toutes les caisses enregistreuses dotées de procédés de mémorisation et de calcul, dont les informations, données et traitements concourent directement ou indirectement à la formation des résultats comptables et à l’élaboration des déclarations obligatoires.
Sont également concernés les divers systèmes informatisés relatifs au domaine de gestion ou de gestion commerciale ( gestion de la production, des achats, des stocks, du personnel, par exemple), quand leurs informations, données et traitements permettent d’élaborer ou de justifier indirectement tout ou partie des écritures comptables ou des déclarations soumises à contrôle."

Donc pour moi qui ne gère pas les règlements via la facturation, il me semble bien que je doive quand même respecter la certification.
Et pour l'intervenant de ce forum qui espérait échapper à ce casse-tête en supprimant les règlements de sa facturation, ça pourrait bien être râpé...
Membre enregistré
198 messages
Popularité : +2 (2 votes)
Posté le 28 juin 2017 - 13:24
Alain LEMAGNENT a écrit :
Depuis tout à l'heure je suis tombé sur : http://bofip.impots.gouv.fr/bofip/2899-PGP.html

L'article 180 précise :
"Sont donc soumis à contrôle tous les systèmes informatisés comptables, les systèmes de gestion des recettes ou des ventes, et notamment, toutes les caisses enregistreuses dotées de procédés de mémorisation et de calcul, dont les informations, données et traitements concourent directement ou indirectement à la formation des résultats comptables et à l’élaboration des déclarations obligatoires.
Sont également concernés les divers systèmes informatisés relatifs au domaine de gestion ou de gestion commerciale ( gestion de la production, des achats, des stocks, du personnel, par exemple), quand leurs informations, données et traitements permettent d’élaborer ou de justifier indirectement tout ou partie des écritures comptables ou des déclarations soumises à contrôle."

Donc pour moi qui ne gère pas les règlements via la facturation, il me semble bien que je doive quand même respecter la certification.
Et pour l'intervenant de ce forum qui espérait échapper à ce casse-tête en supprimant les règlements de sa facturation, ça pourrait bien être râpé...


bonjour,
il faut poser la question au ministre puisqu'il veut simplifier la loi ......
Posté le 29 juin 2017 - 07:28
Bonjour

Comme je l'ai écrit il y a quelques jours des lors qu'il y a facturation aux particuliers il y a risque donc il faut mettre le soft en conformité. J'ai le même cas de figure un client qui fait du pro et quelques particuliers sporadiques, Infocert avec qui j'ai enclenché les démarches pour certifier NF203 au départ m'a fait basculer sur NF525 à cause des particuliers.

Par ailleurs il n'y a rien d'exigé en terme de chainage ou de clé de sécurité sur les règlements clients mais ils sont quand même envoyés dans l'entête de facture au moment de l'archivage.
Membre enregistré
18 messages
Posté le 29 juin 2017 - 10:01
Et si, plutôt que de chercher toutes les bonnes raisons pour ne pas appliquer la loi, on se mettait plutôt à mettre les softs en conformité.
Il est à parier que l'administration sera plus conciliante avec un éditeur qui aura au moins fait la démarche de lancer le développement, même s'il est imparfait, qu'avec un éditeur qui cherchera à argumenter pour expliquer pourquoi il estime ne pas avoir besoin de modifier son soft.
Membre enregistré
28 messages
Popularité : +2 (2 votes)
Posté le 29 juin 2017 - 10:20
Bonjour tout le monde,

Bon courage à ceux qui développent/maintiennent un logiciel de caisse.

Pour les autres, respirons un peu ! http://proxy-pubminefi.diffusion.finances.gouv.fr/pub/document/18/22503.pdf

--
Alain
Membre enregistré
198 messages
Popularité : +2 (2 votes)
Posté le 29 juin 2017 - 10:33
Alain a écrit :
Bonjour tout le monde,

Bon courage à ceux qui développent/maintiennent un logiciel de caisse.

Pour les autres, respirons un peu ! http://proxy-pubminefi.diffusion.finances.gouv.fr/pub/document/18/22503.pdf

--
Alain


pour l'instant rien ne change .... si tu enregistre un encaissement (un règlement) , la loi s'applique ...
Posté le 29 juin 2017 - 12:22
Moi je suis entièrement d'accord avec André sur le fond et la forme.

Attention à tous , le communiqué de presse n'est qu'un communiqué et en aucun cas une modification du BOI ou de la loi et reste très nébuleux.

Les logiciels de facturation destinés aux pros à 100% dans tous les cas doivent respecter le BOI donc pas de grands totaux et pas de chainage mais tous les archivages et cryptages doivent être présents. çà c'est la grosse différence avec les logiciels dits de caisse ou logiciels destinés à la facturation des particuliers qui eux doivent crypter, chainer et archiver. Comme je l'ai dit , moi je suis rentré dans le process de certif et quand cette note est sortie je me suis dit cool pour certains de mes logiciels que je ne voulais pas certifier mais simplement attester et il m'a été clairement répondu que je devais pour tous réaliser au moins le cryptage et les archives donc, à certifier deux produits en NF545 autant appliquer les mêmes méthodes à tous pour que l'attestation soit la plus complète possible et présente le moins de risque possible vis à vis d'un contrôle.
Membre enregistré
198 messages
Popularité : +2 (2 votes)
Posté le 29 juin 2017 - 14:39
Bonjour,
quel cryptage ? c'est pas une signature plutôt ? et le chainage ? c'est le faites de ne pas pouvoir supprimer un enregistrement (crypter ou signé) sans que cela se remarque ?
Posté le 29 juin 2017 - 15:19
en fait il faut créer pour chaque ligne une signature composé de x champs , chaine que tu vas "hasher" et signée électroniquement en 64bit via une clé SSL .
Le chainage c'est le fait que chaque element est liés au précédent et contient dans sa signature une partie de signature de la facture, ticket ou commande précédente
Membre enregistré
5 messages
Posté le 28 juillet 2017 - 13:22
Bonjour à tous,

La piste d'audit correspond à l’historique des événements informatiques du système d’encaissement.
Je souhaiterai savoir concretement ce que cela signifie. Quels sont ces évenements ?
Quel est la différence avec le JET (Journal des Evenements Techniques) ?

D'avance Merci.
LL
Membre enregistré
22 messages
Posté le 24 août 2017 - 09:32
Bonjour,
je cherche à résoudre le problème "Dépôt auprès d'un tiers". Pour ceux qui ont résolu ce problème, c'est aupres d'organisme (j'ai pas trouvé) ou n'importe qui de confiance?

Merci
Laurent
Posté le 24 août 2017 - 10:14
Bonjour

si c'est de moi que tu parlais j'ai posté pas mal de truc sur les différents forum relatifs à la NF525.
Pour le dépot auprès d'un tiers tu as l'APP qui est accepté.
Pour la piste d'audit en fait il te faut tracer tout c que fait l'utilisateur, accès au logiciel, création d'un encaissement suppression modification, dans la NF525 il est largement décrit le tableau des événements à retrouver sur le JET
Pour les signatures il faut signer toutes les lignes de détail et d'entête + pour les logiciels de vente aux particuliers faire le chaînage des factures et des tickets (pour ceux qui emettent des tickets)

A votre dispo si plus de questions
Membre enregistré
18 messages
Posté le 04 septembre 2017 - 08:55
Bonjour à tous,
J'ai encore une question à propos des signatures.
Je mets dans mon application tout ce qu'il faut pour signer les lignes liées aux encaissements. Jusque là ça va.
La question que je me pose est de savoir comment un inspecteur pourra vérifier que toutes les lignes ont une signature correcte.
Bien sûr, je mets dans l'application un bouton qui vérifie qu'un ticket visible à l'écran est bien signé, et que sa signature est valide. Je prévois aussi un petit utilitaire externe qui permet de vérifier la signature de n'importe quelle chaîne de texte. Je prépare une documentation qui indique exactement comment chaque enregistrement est stocké en base de données, et comment il est encodé avant signature.
Mais comment l'inspecteur peut-il vérifier que
-> tous les enregistrements, par exemple entre deux dates, ont la bonne signature ? (si je fais 1000 tickets par jour, je ne vois pas M. Fisc vérifier 300000 signatures pour une année à la main). Est-ce que je dois une fonction qui teste par exemple tous les tickets entre deux dates ? Si oui, comment je garantis que cette fonction ne dit pas "OK" alors que ça ne l'est pas ?
-> si je fournis un utilitaire de vérification, qui garantit qu'il ne triche pas pour indiquer une bonne signature même si ce n'est pas le cas ? Bien sûr je peux donner les sources de cet utilitaire, mais est-ce que c'est une obligation ?
En gros, jusqu'où un inspecteur peut-il chercher la petite bête pour arriver à donner 45000 € d'amende ?
Posté le 04 septembre 2017 - 10:48
Bonjour

Les lignes de tes tickets sont signés linéairement avec ta clé privé
Les entêtes des tickets sont aussi signés et chainés les uns aux autres

Le contrôleur doit avoir un outil qui vérifie si la signature enregistrée par ligne est conforme aux données enregistrées et vérifier si rien n'a été modifié dans les enregistrements et d'autre part il doit pouvoir décrypter les grands totaux avec la clé publique pour consulter les données csv ou xml.
Membre enregistré
198 messages
Popularité : +2 (2 votes)
Posté le 04 septembre 2017 - 14:19
Laurent P a écrit :
Bonjour

d'autre part il doit pouvoir décrypter les grands totaux avec la clé publique pour consulter les données csv ou xml.


???
je ne comprends pas de quoi vous parlez .... ce n'est pas un cryptage mais une signature , d'autre par de quelles données csv ou xml vous parlez ?
Posté le 04 septembre 2017 - 14:54
Le 04/09/2017 à 12:19, GAD a écrit :
Laurent P a écrit :
Bonjour

d'autre part il doit pouvoir décrypter les grands totaux avec la clé
publique pour consulter les données csv ou xml.

??? je ne comprends pas de quoi vous parlez .... ce n'est pas un
cryptage mais une signature , d'autre par de quelles données csv ou xml
vous parlez ?


Bonjour,

Dans la NF525, il y a la partie "archivage fiscal" qui consiste à
générer sous forme "lisible" une sauvegarde de la période (mois ou
année) Le format peut donc être csv ou xml, et on doit ensuite signer le
fichier de sauvegarde afin d'en garantir l'intégrité.

Donc c'est bien une signature (et pas un cryptage) et c'est bien du csv
ou du xml, rien à voir avec le chainage des ventes.

Bon dev,

Fred.
Membre enregistré
18 messages
Posté le 04 septembre 2017 - 14:55
GAD a écrit :
Laurent P a écrit :
Bonjour

d'autre part il doit pouvoir décrypter les grands totaux avec la clé publique pour consulter les données csv ou xml.


???
je ne comprends pas de quoi vous parlez .... ce n'est pas un cryptage mais une signature , d'autre par de quelles données csv ou xml vous parlez ?


Ça je crois comprendre.
Depuis l'application on peut générer des fichiers lisibles (csv, xml, odt, ods ...). Ces fichiers peuvent facilement être modifiés sans que ça se voie.
L'idée est de générer, en même temps que le fichier, le moyen de s'assurer qu'il n'est pas modifié.
La première idée est de joindre un petit fichier contenant la signature. C'est ce que j'ai prévu.
L'autre idée est de créer le même fichier mais crypté avec la clé privée, et de fournir un outil de décryptage avec la clé publique. L'avantage de cette méthode, par exemple pour un fichier odt ou ods, c'est de laisser la possibilité de faire des modifications non critiques (telles qu'une mise en page, ajout d'un logo ...), mais de pouvoir vérifier que la partie sensible n'est pas altérée. Mais je ne pense pas aller jusque là pour le moment. Compte tenu des délais, je n'ai pas l'intention de faire plus que le vraiment nécessaire dans les premières versions.
Message modifié, 04 septembre 2017 - 14:56
Membre enregistré
18 messages
Posté le 04 septembre 2017 - 15:19
Du coup, j'ai encore une question.
J'ai bien sûr un système de sauvegarde (différent de l'archivage) qui permet de récupérer en cas d'incident grave (crash disque, ou n'importe quoi d'autre)
Et donc, bien sûr, j'ai un système de restauration de la base à partir d'une sauvegarde.
Je ne vois pas comment on veut éviter ça si on veut un système "fiable" comme indiqué plusieurs fois.
Mais en effectuant une restauration, on perd évidemment toutes les données éventuellement enregistrées depuis la sauvegarde utilisée. Pour un utilisateur malveillant, c'est un moyen facile de "perdre" quelques jours de chiffre d'affaires.

Qu'est-ce qu'on peut avoir comme parade ?
Posté le 05 septembre 2017 - 09:52
Le 04/09/2017 à 13:19, ANDRE THEVENIN a écrit :
Du coup, j'ai encore une question.
J'ai bien sûr un système de sauvegarde (différent de l'archivage) qui
permet de récupérer en cas d'incident grave (crash disque, ou n'importe
quoi d'autre)
Et donc, bien sûr, j'ai un système de restauration de la base à partir
d'une sauvegarde.
Je ne vois pas comment on veut éviter ça si on veut un système "fiable"
comme indiqué plusieurs fois.
Mais en effectuant une restauration, on perd évidemment toutes les
données éventuellement enregistrées depuis la sauvegarde utilisée. Pour
un utilisateur malveillant, c'est un moyen facile de "perdre" quelques
jours de chiffre d'affaires.

Qu'est-ce qu'on peut avoir comme parade ?


Les sauvegardes et restorations doivent être enregistrées dans la piste
d'audit ... au client malveillant la charge d'expliquer pourquoi il lui
manque régulièrement des journées.

Fred.
Membre enregistré
198 messages
Popularité : +2 (2 votes)
Posté le 05 septembre 2017 - 11:49
Fredo a écrit :

Qu'est-ce qu'on peut avoir comme parade ?


Les sauvegardes et restorations doivent être enregistrées dans la piste
d'audit ... au client malveillant la charge d'expliquer pourquoi il lui
manque régulièrement des journées.

Fred.

Un simple copier/coller du répertoire et le tour et joué , ou même une restauration de windows la veille et hop .
Membre enregistré
18 messages
Posté le 05 septembre 2017 - 12:34
GAD a écrit :
Fredo a écrit :

Qu'est-ce qu'on peut avoir comme parade ?


Les sauvegardes et restorations doivent être enregistrées dans la piste
d'audit ... au client malveillant la charge d'expliquer pourquoi il lui
manque régulièrement des journées.

Fred.

Un simple copier/coller du répertoire et le tour et joué , ou même une restauration de windows la veille et hop .


Pas vraiment aussi simple avec une base MSSQL
Posté le 05 septembre 2017 - 14:35
Le 05/09/2017 à 09:49, GAD a écrit :
Fredo a écrit :

Qu'est-ce qu'on peut avoir comme parade ?


Les sauvegardes et restorations doivent être enregistrées dans la piste
d'audit ... au client malveillant la charge d'expliquer pourquoi il lui
manque régulièrement des journées.

Fred.
Un simple copier/coller du répertoire et le tour et joué , ou même une

restauration de windows la veille et hop .


Déjà évoqué, c'est pour ça que la NF impose d'imprimer un morceau de la
signature sur le ticket.

Fred.
Membre enregistré
198 messages
Popularité : +2 (2 votes)
Posté le 05 septembre 2017 - 16:12
Fredo a écrit :
Déjà évoqué, c'est pour ça que la NF impose d'imprimer un morceau de la
signature sur le ticket.

Fred.


un morceau de la signature sur le ticket ne sert à rien puisque le contrôleur ne la pas ..... a moins qu'il soit venu ce jour la pour faire un achat ....
Posté le 05 septembre 2017 - 17:52
Le 05/09/2017 à 14:12, GAD a écrit :
Fredo a écrit :
Déjà évoqué, c'est pour ça que la NF impose d'imprimer un morceau de la
signature sur le ticket.

Fred.

un morceau de la signature sur le ticket ne sert à rien puisque le
contrôleur ne la pas ..... a moins qu'il soit venu ce jour la pour faire
un achat ....


C'est exactement ça le principe, on passe dans un établissement, on fait
un achat en espèce et on revient un mois plus tard.

:)

Fred.
Posté le 05 septembre 2017 - 21:00
Bjr,

GAD avait soumis l'idée :
Fredo a écrit :
Déjà évoqué, c'est pour ça que la NF impose d'imprimer un morceau de la
signature sur le ticket.

Fred.

un morceau de la signature sur le ticket ne sert à rien puisque le contrôleur
ne la pas ..... a moins qu'il soit venu ce jour la pour faire un achat ....


ET si on a pas de ticket ??

--
-------------------------------------------------------------
www.ctc-soft.com
Gestion biblo-documentaire (free-share)
Comptabilité shareware
Logiciels de Gestion de saisie terrain
Spécialisé Tournées de boulangers
-------------------------------------------------------------
Posté le 07 septembre 2017 - 10:41
Laurent P a écrit :
Bonjour

si c'est de moi que tu parlais j'ai posté pas mal de truc sur les différents forum relatifs à la NF525.
Pour le dépot auprès d'un tiers tu as l'APP qui est accepté.
Pour la piste d'audit en fait il te faut tracer tout c que fait l'utilisateur, accès au logiciel, création d'un encaissement suppression modification, dans la NF525 il est largement décrit le tableau des événements à retrouver sur le JET
Pour les signatures il faut signer toutes les lignes de détail et d'entête + pour les logiciels de vente aux particuliers faire le chaînage des factures et des tickets (pour ceux qui emettent des tickets)

A votre dispo si plus de questions


Bonjour,

Je m'intéresse aussi a dépôt auprès d'un tiers et la certif ne précise pas s'il faut faire un dépot vers un tier spécialisé.
APP étant un tier spécialisé, c'est accepté ce qui est logique. Mais est ce qu'un dépot à un officier ministériel : notaire ou huissier de justice est accepté?

Merci d'avance.

Yannick
Posté le 25 septembre 2017 - 19:01
Une FAQ est disponible depuis le 28/07/2017, elle montra bien que la NF525 n'est en rien une référence.

https://www.economie.gouv.fr/files/files/directions_services/dgfip/controle_fiscal/actualites_reponses/logiciels_de_caisse.pdf

Morceaux choisis:

18: La loi instaure une obligation de résultat concernant la conformité des logiciels (respect des quatre
conditions de la loi : inaltérabilité, sécurisation, conservation, archivage) et non de moyen : elle ne
définit pas de cahier des charges, ni de solution technique, contrairement à d'autres dispositifs fiscaux.

19. L'administration fiscale n'impose aucune solution technique (empreinte électronique, chaînage des
opérations…), dès lors qu'aucune norme fiscale a été prévue par le législateur....Le certificat est associé à la capacité de pouvoir démontrer que les données de règlement n'ont pas été
modifiées depuis leur enregistrement initial et doit fournir un système de preuve en ce sens.

35. Les archives doivent pouvoir être lues aisément par l'administration. Aucun format d'archive n'est
toutefois imposé.
Posté le 03 octobre 2017 - 08:50
Execute a écrit :
Une FAQ est disponible depuis le 28/07/2017, elle montra bien que la NF525 n'est en rien une référence.

https://www.economie.gouv.fr/files/files/directions_services/dgfip/controle_fiscal/actualites_reponses/logiciels_de_caisse.pdf

Morceaux choisis:

18: La loi instaure une obligation de résultat concernant la conformité des logiciels (respect des quatre
conditions de la loi : inaltérabilité, sécurisation, conservation, archivage) et non de moyen : elle ne
définit pas de cahier des charges, ni de solution technique, contrairement à d'autres dispositifs fiscaux.

19. L'administration fiscale n'impose aucune solution technique (empreinte électronique, chaînage des
opérations…), dès lors qu'aucune norme fiscale a été prévue par le législateur....Le certificat est associé à la capacité de pouvoir démontrer que les données de règlement n'ont pas été
modifiées depuis leur enregistrement initial et doit fournir un système de preuve en ce sens.

35. Les archives doivent pouvoir être lues aisément par l'administration. Aucun format d'archive n'est
toutefois imposé.



Merci pour ce lien, il me manquait.

Une nouvelle remarque.
J'ai discuté l'autre jour avec mon boulanger qui a un système normalement mis à jour pour la LOF2016.
Pour commencer, le plus souvent, je prends mon pain, je donne le montant correspondant, et aucune saisie n'est faite sur le système. Mais bon je ne travaille pas pour le fisc, je ne dis rien.
Ensuite, quand on regarde tous les documents relatifs à la LOF2016, il est très souvent fait mention du ticket de caisse comme document de référence, par exemple pour vérifier qu'une vente n'est pas modifiée à postériori, pour la numérotation des duplicatas et autres contrôles. Très bien. Sauf que mon boulanger n'a pas d'imprimante, et que ça n'a pas l'air de perturber son logiciel.
Est-ce qu'il ne faudrait pas que le logiciel refuse d'encaisser si l'imprimante n'est pas opérationnelle ? Ou au moins que ce défaut soit enregistré quelque part ?
Posté le 03 octobre 2017 - 09:42
Bonjour,

Je ne pense pas que cela pose problème.
L'impression n'est que le reflet de la situation enregistrée.

Donc le ticket existe dans le logiciel mais juste pas sur papier.
Membre enregistré
22 messages
Posté le 03 octobre 2017 - 10:05
Bonjour,

je suis à l'étape du dépôt chez un tiers, quels sont les solutions choisies. Je voulais passer par un notaire mais difficile d'en trouver un qui le fasse.
Est ce que vous en connaissez un?
Merci

Laurent
Posté le 04 octobre 2017 - 09:18
le ticket de caisse est obligatoire à partir de 25€...la saisie dans le logiciel est obligatoire, ne pas le faire est le plus simple moyen de frauder quand on a une caisse certifiée....après rien n'empêche le fisc de commencer son contrôle en achetant une baguette pour constater la fraude...mais tout cela sort du cadre de la certification éditeur :)
Posté le 04 octobre 2017 - 11:13
Bonjour

"le ticket de caisse est obligatoire à partir de 25€"
Tu as le texte de loi sur la possibilite de ne pas editer des tickets (en magasin) de moins de 25 euros ?
Je suis preneur, car En effet , je vois souvent cette reference dans les forums, mais je ne trouve aucun texte de loi

Cordialement
Olivier
Posté le 04 octobre 2017 - 23:57
Bonjour,

Il est demandé de tracer dans la piste d'audit (JET) les modifications d'habilitation d'utilisateur.

Savez-vous comment écrire dans la piste d'audit depuis le groupware utilisateur ? le gpw est considéré comme un composant interne et n'a donc pas accès au fonction du projet, ni à la base de données.
Je bloque et nous sommes en plein audit de certif. et l'audit a clairement dit que si il n'y a pas ça, nous n'aurons pas la certif.

HELP !!
Posté le 05 octobre 2017 - 11:00
alors pour les 25€ j'ai en effet trouvé ça sur les forums, je ne trouve pas de texte mais une fiche du gouvernement qui parle de 15,24€ (sans que je trouve ce montant non plus dans un texte de loi)

https://www.economie.gouv.fr/files/directions_services/dgccrf/documentation/publications/depliants/info_prix.pdf

haha :) sur service.public.Fr ils parlent de 25€
https://www.service-public.fr/professionnels-entreprises/vosdroits/F23208

et ici ils parlent d'une évolution de ce montant
https://business.lesechos.fr/entrepreneurs/juridique/108589-prestations-de-services-facture-obligatoire-a-partir-de-25-31909.php

mais toujours pas la source :)

ceci dit dans mon soft, le ticket sort systématiquement, libre au commerçant de le délivrer ou non.
Membre enregistré
5 messages
Posté le 17 octobre 2017 - 06:31
Bonjour à tous,

je me pose une question concernant le grand total perpetuel : il porte sur le cumul en valeur absolue du montant total des tickets ou le cumul en valeur absolue du montant de chaque ligne ?

Exemple :
Ticket 1
Produit | Qté | P.U. TTC | Montant TTC
baguette | 2 | 0.90 | 1.80
baguette | -1 | 0.90 | -0.90
beignet | 1 | 1.40 | 1.40

grand total ticket : 2.30
grand total perpetuel : 2.30 ou 4.10 ?

D'avance merci pour votre aide.
L.L
Message modifié, 17 octobre 2017 - 06:36
Posté le 17 octobre 2017 - 14:12
je suis surpris que sur un même ticket tu puisses avoir des articles en + et en -

pour moi tu factures 1 baguette (et non 2- 1) ou tu fais un avoir pour 1 baguette après en avoir facturé 2...mais je ne me vois pas produire un ticket avec 2-1 baguettes.

elle apparait dans les logs, mais pas sur le ticket.
Membre enregistré
5 messages
Posté le 17 octobre 2017 - 15:43
Merci Execute pour ta réponse,

Disons qu'à partir du moment où le cas peut techniquement se produire, je dois le gérer.
Dans ton logiciel, saisir des lignes en + et en - sur une même vente est impossible ?

L.L
Membre enregistré
198 messages
Popularité : +2 (2 votes)
Posté le 17 octobre 2017 - 16:14
LL a écrit :
Disons qu'à partir du moment où le cas peut techniquement se produire, je dois le gérer.
Dans ton logiciel, saisir des lignes en + et en - sur une même vente est impossible ?
L.L


Bonjour,
surtout si à l'avenir il faut faire des -x pour annuler une ligne qui est déjà signée .....
d'ailleurs j'aimerais bien savoir à quelle moment vous signez vos lignes de facture ou de commande ... :)
Membre enregistré
5 messages
Posté le 17 octobre 2017 - 21:49
Je signe les entêtes des ventes au moment de leur validation (encaissement)
Selon la NF525, la signature doit contenir les montants TTC ventilés par taux de TVA, cela ne peut donc être fait qu'à la fin de la saisie de la vente.
Posté le 18 octobre 2017 - 19:13
Une petite question :

On est bien d'accord que l'erreur est humaine.
Partant de ce principe :
J'enregistre ma vente avec 4 articles, je valide.
Je ne peux donc plus modifier cette vente.

Mais j'ai vendu le Produit X à la place du produit Z
Le Client me le fait remarquer.
Deux solutions:

1 - Avoir de toute la vente en question (en espérant qu'il n'y a pas 50 articles)
et on recommence une nouvelle vente.
Quid du réglement par CB ?

2 - Avoir sur la ligne en question.
Quid du réglement par CB ?

Mais là où se trouve mon interrogation.

Puisqu'on peut faire un avoir,
rien ne m'empêche de mettre en avoir une vente réglée en espèce.

D'aucun me diront : "ça va faire beaucoup d'avoirs"
Pas forcément, je vends aussi des produits de luxe.
Mon Client m'achète une boite de caviar et comme il est étranger (touriste)
il me paye en liquide.
Dès qu'il est parti je fais un avoir.

J'ai rien compris ?
Membre enregistré
198 messages
Popularité : +2 (2 votes)
Posté le 18 octobre 2017 - 22:20
Christine a écrit :
Une petite question :

On est bien d'accord que l'erreur est humaine.
Partant de ce principe :
J'enregistre ma vente avec 4 articles, je valide.
Je ne peux donc plus modifier cette vente.

Mais j'ai vendu le Produit X à la place du produit Z
Le Client me le fait remarquer.
Deux solutions:

1 - Avoir de toute la vente en question (en espérant qu'il n'y a pas 50 articles)
et on recommence une nouvelle vente.
Quid du réglement par CB ?

2 - Avoir sur la ligne en question.
Quid du réglement par CB ?

Mais là où se trouve mon interrogation.

Puisqu'on peut faire un avoir,
rien ne m'empêche de mettre en avoir une vente réglée en espèce.

D'aucun me diront : "ça va faire beaucoup d'avoirs"
Pas forcément, je vends aussi des produits de luxe.
Mon Client m'achète une boite de caviar et comme il est étranger (touriste)
il me paye en liquide.
Dès qu'il est parti je fais un avoir.

J'ai rien compris ?


Oui , c'est çà , toujours le droit de faire des avoirs , mais cela se voit ...

LL a écrit :
Je signe les entêtes des ventes au moment de leur validation (encaissement)
Selon la NF525, la signature doit contenir les montants TTC ventilés par taux de TVA, cela ne peut donc être fait qu'à la fin de la saisie de la vente.


Vous voulez dire que l'encaissement fait foi ? donc avant (et pendant des heures) , le ticket ou la facture (même en brouillon) n'est pas sécurisé par une signature ?
Membre enregistré
5 messages
Posté le 19 octobre 2017 - 07:14
Bonjour Gad,

Si tu veux on peut en discuter au tel.
Envoie-moi ton numéro à cette adresse : contact@maia-dev.com
Posté le 19 octobre 2017 - 07:45
Christine a écrit :
Une petite question :

On est bien d'accord que l'erreur est humaine.
Partant de ce principe :
J'enregistre ma vente avec 4 articles, je valide.
Je ne peux donc plus modifier cette vente.

Mais j'ai vendu le Produit X à la place du produit Z
Le Client me le fait remarquer.
Deux solutions:

1 - Avoir de toute la vente en question (en espérant qu'il n'y a pas 50 articles)
et on recommence une nouvelle vente.
Quid du réglement par CB ?

2 - Avoir sur la ligne en question.
Quid du réglement par CB ?

Mais là où se trouve mon interrogation.

Puisqu'on peut faire un avoir,
rien ne m'empêche de mettre en avoir une vente réglée en espèce.

D'aucun me diront : "ça va faire beaucoup d'avoirs"
Pas forcément, je vends aussi des produits de luxe.
Mon Client m'achète une boite de caviar et comme il est étranger (touriste)
il me paye en liquide.
Dès qu'il est parti je fais un avoir.

J'ai rien compris ?



Le plus simple est encore de ne pas saisir le ticket dans ce cas, le client étranger ne va sans doute pas le demander.
Mais au bout de compte ça se verra lors de l'inventaire, si il manque 10 boîtes de caviar pour 0 vendue ça risque de déclencher un contrôle plus approfondi.

La LOF est là pour limiter les plus gros abus. Si on lit bien tous les documents que l'on peut trouver, elle a été principalement conçue (mais sans le dire bien sûr) pour la fraude dans les restaurants qui joue à deux niveaux
-> fraude sur les ventes (tickets annulés sans que ça se voie)
-> fraude sur les fiches de frais (plusieurs fiches pour le même repas, fiches fictives et autres joyeusetés)
Pas sûr que les contrôleurs vont beaucoup s'embêter avec les boulangers ou les marchands de caviar.
Posté le 19 octobre 2017 - 08:44
Bjr,

GAD a couché sur son écran :
donc avant (et pendant des
heures) , le ticket ou la facture (même en brouillon) n'est pas sécurisé par
une signature ?


Tu as beaucoup de magasins ou une vente dure des heures ??
je ne parle pas du client qui cherche, ou hesite, mais de celui qui
commence a mettre ses produits sur le tapis, et qui est toujours la des
heures apres ?

y a quelque chose que j'ai du rater la

a plus

--
-------------------------------------------------------------
www.ctc-soft.com
Gestion biblo-documentaire (free-share)
Comptabilité shareware
Logiciels de Gestion de saisie terrain
Spécialisé Tournées de boulangers
-------------------------------------------------------------
Posté le 19 octobre 2017 - 09:08
Le 18/10/2017 à 17:13, Christine a écrit :
Une petite question :

On est bien d'accord que l'erreur est humaine.
Partant de ce principe :
J'enregistre ma vente avec 4 articles, je valide.
Je ne peux donc plus modifier cette vente.

Mais j'ai vendu le Produit X à la place du produit Z
Le Client me le fait remarquer.
Deux solutions:

1 - Avoir de toute la vente en question (en espérant qu'il n'y a pas 50
articles)
   et on recommence une nouvelle vente.
   Quid du réglement par CB ?

2 - Avoir sur la ligne en question.
   Quid du réglement par CB ?

Mais là où se trouve mon interrogation.

Puisqu'on peut faire un avoir,
rien ne m'empêche de mettre en avoir une vente réglée en espèce.

D'aucun me diront : "ça va faire beaucoup d'avoirs"
Pas forcément,  je vends aussi des produits de luxe.
Mon Client m'achète une boite de caviar et comme il est étranger (touriste)
il me paye en liquide.
Dès qu'il est parti je fais un avoir.

J'ai rien compris ?



Bonjour,

Cela n'est plus du ressort "informatique", rien n'oblige un commerçant à
s'équiper d'une caisse ! ou même à s'en servir s'il en a une. Si cela
vous amuse de faire 150 avoirs par jour (ou même un seul)... à vous de
le justifier en cas de contrôle.

On a un client qui a eu un contrôle il y a 3 ou 4 ans. Il y avait
environ 180 suppressions de pression (et c'est pas un jeu de mots) par
jour dans les logs. Lorsque le contrôleur lui a demandé pourquoi ...
c'est parce qu'il ne se rappelait pas du prix (qui est affiché sur la
touche) Bizarrement son argument n'a convaincu personne.

Le but de la loi est surtout de nettoyer la profession des logiciels à
optimiser le black. Pour l'éducation des clients, ce n'est pas notre rôle.

Fred.
Posté le 19 octobre 2017 - 11:36
Bonjour, dans le cahier des charges d'infocert, (page 90 / 107 du pdf) au paragraphe 6 : restitution de la signature.
est indiqué : numéro de certificat (numérique sur 4 caractères) : Savez vous ce qu'ils veulent dire par certificat ?
Merci pour vos réponses.
Bon Dev.
Xavier
Membre enregistré
198 messages
Popularité : +2 (2 votes)
Posté le 19 octobre 2017 - 11:45
Dc a écrit :
Bjr,

GAD a couché sur son écran :
donc avant (et pendant des
heures) , le ticket ou la facture (même en brouillon) n'est pas sécurisé par
une signature ?


Tu as beaucoup de magasins ou une vente dure des heures ??
je ne parle pas du client qui cherche, ou hesite, mais de celui qui
commence a mettre ses produits sur le tapis, et qui est toujours la des
heures apres ?

y a quelque chose que j'ai du rater la

a plus

--
-------------------------------------------------------------
www.ctc-soft.com
Gestion biblo-documentaire (free-share)
Comptabilité shareware
Logiciels de Gestion de saisie terrain
Spécialisé Tournées de boulangers
-------------------------------------------------------------


oui dans les restaurants justement ! tu commande pas ton dessert à l'apéro .... et certain logiciel de gestion qui cumule les produits .
c'est sur que dans le monde à oui-oui , on achète 2 baguettes et trois citrons , on encaisse , et on donne la facture , la c'est simple à sécurisé , mais peu travaille comme ceci dans le monde des utilisateurs de logiciel de facturation ...
Posté le 19 octobre 2017 - 15:45
Le 19/10/2017 à 09:36, ECOEUR Xavier a écrit :
Bonjour, dans le cahier des charges d'infocert, (page 90 / 107 du pdf)
au paragraphe 6 : restitution de la signature.
est indiqué : numéro de certificat (numérique sur 4 caractères) : Savez
vous ce qu'ils veulent dire par certificat ?
Merci pour vos réponses.
Bon Dev.
Xavier


Le certificat c'est le document officiel validé par afnor qu'on te
délivre si tu passe avec succès l'audit.

http://infocert.org/index.php…

Bon dev

Fred
Posté le 20 octobre 2017 - 07:04
Fredo : Merci !!
bon weekend
Posté le 20 octobre 2017 - 09:20
LL a écrit :
Merci Execute pour ta réponse,

Disons qu'à partir du moment où le cas peut techniquement se produire, je dois le gérer.
Dans ton logiciel, saisir des lignes en + et en - sur une même vente est impossible ?

L.L


je n'ai trouvé nulle-part une définition du grand total, mais plusieurs personnes m'ont affirmé que c'était un total en valeur absolue...de fait, je conserve quand à moi deux totaux, les crédits et les débits....le grand total serait donc la somme des deux en valeur absolue...du coup mon grand total reflète les + et - au niveau des lignes du ticket et pas seulement de son total.
Posté le 20 octobre 2017 - 09:25
Christine a écrit :
Une petite question :

On est bien d'accord que l'erreur est humaine.
Partant de ce principe :
J'enregistre ma vente avec 4 articles, je valide.
Je ne peux donc plus modifier cette vente.

Mais j'ai vendu le Produit X à la place du produit Z
Le Client me le fait remarquer.
Deux solutions:

1 - Avoir de toute la vente en question (en espérant qu'il n'y a pas 50 articles)
et on recommence une nouvelle vente.
Quid du réglement par CB ?

2 - Avoir sur la ligne en question.
Quid du réglement par CB ?

Mais là où se trouve mon interrogation.

Puisqu'on peut faire un avoir,
rien ne m'empêche de mettre en avoir une vente réglée en espèce.

D'aucun me diront : "ça va faire beaucoup d'avoirs"
Pas forcément, je vends aussi des produits de luxe.
Mon Client m'achète une boite de caviar et comme il est étranger (touriste)
il me paye en liquide.
Dès qu'il est parti je fais un avoir.

J'ai rien compris ?


un logiciel certifié n'interdit aucune opération, il se contente de tout tracer....donc des avoirs sur tout et n'importe quoi sont possibles mais sont visibles.

mais je suis près à parié que tout cela permet surtout de simplifier les contrôles en commençant par demander l'attestation de certification qui rapporte 7500€ en cas de non présentation sans avoir fait le moindre contrôle fiscal, y compris pour un commerçant qui n'aurait commis aucune autre infraction !
Posté le 20 octobre 2017 - 09:36
GAD a écrit :

oui dans les restaurants justement ! tu commande pas ton dessert à l'apéro .... et certain logiciel de gestion qui cumule les produits .
c'est sur que dans le monde à oui-oui , on achète 2 baguettes et trois citrons , on encaisse , et on donne la facture , la c'est simple à sécurisé , mais peu travaille comme ceci dans le monde des utilisateurs de logiciel de facturation ...


imaginons un client qui vient, passe 2h au resto entre l'apéro et le digestif et qui part en courant sans payer...c'est une perte sèche, mais il n'y a pas fraude à la TVA, tu n'as rien facturé et rien encaissé (côté vente).

en fait dans mon soft, c'est le patron qui veux tracer la commande, car outre le fisc, tu as aussi des employés qui peuvent supprimer une commande avant quelle ne passe en facturation :)

voici comment je procède (restauration à emporter)

1) le client commande, tout peut être ajouté/supprimé, on a un log mais pas d'autre trace
2) la commande est imprimée et/ou envoyée en cuisine, on peut toujours supprimer mais cela apparaît comme supprimé dans la commande
3) au moment du paiement, impression d'un ticket inaltérable des produits vendus (et eux uniquement), ce qui fige la commande par la même occasion (impossible d'ajouter, suppression en cuisine possible).
4) il est possible d’émettre un avoir sur tout au parti du ticket.
5) je propose aussi une annulation de vente, qui est un avoir global qui remet la commande en état non payée (pour les erreurs de saisie de mode de paiement par exemple)....on peut le faire autant de fois qu'on veux mais autant de tickets inaltérables liés à la commande sont imprimés...en cas de contrôles c'est visible comme le nez au milieu du visage.
Posté le 20 octobre 2017 - 09:37
Bonjour,

je vois tout le monde parler ici de la NF525.

N'oubliez pas qu'il y a aussi la certification du LNE.
Elle est beaucoup moins contraignante et coûte moins cher à l'année.
Tout simplement car elle a été faites pour répondre à la loi, rien de plus.

Le fait d'être certifié NF525 est surement plus vendeur, mais si comme moi, vous développez votre logiciel d'encaissement pour vos propres magasins, le LNE est à mon avis la meilleure solution.

Michaël.
Membre enregistré
198 messages
Popularité : +2 (2 votes)
Posté le 20 octobre 2017 - 09:56
Execute a écrit :
voici comment je procède (restauration à emporter)

1) le client commande, tout peut être ajouté/supprimé, on a un log mais pas d'autre trace
2) la commande est imprimée et/ou envoyée en cuisine, on peut toujours supprimer mais cela apparaît comme supprimé dans la commande
3) au moment du paiement, impression d'un ticket inaltérable des produits vendus (et eux uniquement), ce qui fige la commande par la même occasion (impossible d'ajouter, suppression en cuisine possible).



oui mais dans les questions/réponses du ministère , c'est clair :

22. Qu’entend-on par les données d’origine « enregistrées initialement » ? À partir de quel moment doit-on les rendre inaltérables ?
Éléments de réponse :
Les données de l'opération doivent être inaltérables de la prise de commande jusqu'à l'enregistrement du règlement.
Cette inaltérabilité est garantie par :
*L'absence de fonctionnalité logicielle permettant une modification/suppression de la
transaction et la preuve que ce système n'a pas été contourné.
*Une preuve numérique permettant de détecter si la donnée élémentaire a été modifiée depuis
son enregistrement.

'Les données de l'opération doivent être inaltérables de la prise de commande jusqu'à l'enregistrement du règlement' : C'est donc pas bon ....
Posté le 20 octobre 2017 - 18:13
Bjr,

Après mûre réflexion, "ÿÿÿÿÿÿÿ" a écrit :
> vous développez votre logiciel d'encaissement pour vos propres magasins, le

Je crois que l'auto-certification est impossible.
ou ca a changé ?

a plus

--
-------------------------------------------------------------
www.ctc-soft.com
Gestion biblo-documentaire (free-share)
Comptabilité shareware
Logiciels de Gestion de saisie terrain
Spécialisé Tournées de boulangers
-------------------------------------------------------------
Posté le 20 octobre 2017 - 18:20
Bjr,

GAD vient de nous annoncer :

> oui dans les restaurants justement ! tu commande pas ton dessert à l'apéro

Je n'ai plus fait de soft pour restaurants depus longtemps, mais dans
tous les cas je ne créais pas un ticket à la prise de commande !!

et quand je passe dans des resto (pour manger :-) ) je vois bien que
meme avec des softs certifiés (puisque bcp en sont deja equipés) le
ticket n'est fabriqué qu'au moment de payer.
Ce qui se passe entre la table et la cuisine, le fisc n'en a rien a
faire ...

Apres, il est normal d'avoir une mise en attente du ticket, fait mais
non encaissé, cas du client qui a son portefeuille dans la voiture,
mais ca met pas 2 heures ... ou alors c 'est que le parking est grand
!!

a plus

--
-------------------------------------------------------------
www.ctc-soft.com
Gestion biblo-documentaire (free-share)
Comptabilité shareware
Logiciels de Gestion de saisie terrain
Spécialisé Tournées de boulangers
-------------------------------------------------------------
Posté le 20 octobre 2017 - 18:22
Bjr,

GAD vient de nous annoncer :
'Les données de l'opération doivent être inaltérables de la prise de commande
jusqu'à l'enregistrement du règlement' : C'est donc pas bon ....


Doit y avoir meprise sur le terme "prise de commande".
Quand tu commandes une maison chez Bruno Petit, faut que le ticket
reste ouvert 8 ou 9 mois .... pfffff

a plus

--
-------------------------------------------------------------
www.ctc-soft.com
Gestion biblo-documentaire (free-share)
Comptabilité shareware
Logiciels de Gestion de saisie terrain
Spécialisé Tournées de boulangers
-------------------------------------------------------------
Membre enregistré
198 messages
Popularité : +2 (2 votes)
Posté le 21 octobre 2017 - 19:05
Dc a écrit :
Bjr,

GAD vient de nous annoncer :
'Les données de l'opération doivent être inaltérables de la prise de commande
jusqu'à l'enregistrement du règlement' : C'est donc pas bon ....


Doit y avoir meprise sur le terme "prise de commande".
Quand tu commandes une maison chez Bruno Petit, faut que le ticket
reste ouvert 8 ou 9 mois .... pfffff

a plus


Qui fait une 'méprise' sur le terme prise de commande ? sérieusement , il ne faut pas être de mauvaise fois . Apparemment la NF525 explique qu'un ticket ( sans numéro donc ) en attente n'est pas une facture ( ni un ticket par le faites ) ni une commande , peut-etre un brouillon mystique ?! , c'est bien comme ceci que la bidouille reste possible , on supprime toute les tickets en attente avec un soft externe sans soucis ( avec une bidouille sur un mouchard quelconque )
rien ne nous empêche de sécurisé une facture ou une commande au fur est à mesure , c'est juste plus compliqué . C'est comme sécurisé les lignes de factures ou que les entêtes ....
Pour la commande ouverte pendant 8 à 9 mois , la règle comptable (surtout des impôts) est de faire une facture d'acompte si un versement à été fait , donc ...
Posté le 22 octobre 2017 - 19:40
Une question me vient à la tête
Vu la petite taille de mon parc clientèle, il m'est financièrement impossible de me faire certifier par un organisme accrédité, je vais donc faire de l'auto-certification.
Ceci est possible quand on est éditeur de logiciels.
Mais ma question est "comment se définit un éditeur de logiciels" du point de vue de l'administration fiscale ?
Je ne diffuse pas en boutique, ni sur Internet, je ne fais pas de pub dans les journaux informatiques, ni sur la revue ficusiaire. Je vends et installe en direct une solution intégrée dans laquelle la partie "caisse" ne représente qu'un petit bout.
Membre enregistré
198 messages
Popularité : +2 (2 votes)
Posté le 22 octobre 2017 - 22:05
ANDRE THEVENIN a écrit :
Une question me vient à la tête
Vu la petite taille de mon parc clientèle, il m'est financièrement impossible de me faire certifier par un organisme accrédité, je vais donc faire de l'auto-certification.
Ceci est possible quand on est éditeur de logiciels.
Mais ma question est "comment se définit un éditeur de logiciels" du point de vue de l'administration fiscale ?
Je ne diffuse pas en boutique, ni sur Internet, je ne fais pas de pub dans les journaux informatiques, ni sur la revue ficusiaire. Je vends et installe en direct une solution intégrée dans laquelle la partie "caisse" ne représente qu'un petit bout.

ANDRE THEVENIN a écrit :
Une question me vient à la tête
Vu la petite taille de mon parc clientèle, il m'est financièrement impossible de me faire certifier par un organisme accrédité, je vais donc faire de l'auto-certification.
Ceci est possible quand on est éditeur de logiciels.
Mais ma question est "comment se définit un éditeur de logiciels" du point de vue de l'administration fiscale ?
Je ne diffuse pas en boutique, ni sur Internet, je ne fais pas de pub dans les journaux informatiques, ni sur la revue ficusiaire. Je vends et installe en direct une solution intégrée dans laquelle la partie "caisse" ne représente qu'un petit bout.


bonsoir andré ,
le code APE
58.29C : Edition de logiciels applicatifs
62.01Z : Programmation informatique -- faut voir , c'est pas sur
Posté le 22 octobre 2017 - 22:13
Bonjour

Quelques précisions pour etre en cours de certif et surtout etre dans le cercle d'Infocert pour la NF525.

Tant qu'une facture / ticket ou ce que l'on veut n'est pas numéroté on en fait ce que l'on veut . Les tickets en attente, client en compte ou autre sont effectivement un pb mais à ce moment il suffit de les appeler comme vous voulez , pour ma part çà reste des tickets en attente. La solution la plus radicale et préconisée et de supprimer tous le soirs tous les tickets en attente....

Dans tous les cas des qu'il y a paiement du client ou impression du ticket tout se vérrouille . Par contre avant cela vous faites ce que vous voulez mais vous le tracez quand même dan le JET insertion suppression ....
Même chose pour les bon cadeaux qui doivent etre également tracés. Autre chose importante il est interdit de pouvoir imprimer un aperçu d'un ticket ou d'une facture .
Posté le 23 octobre 2017 - 08:09
GAD a écrit :

ANDRE THEVENIN a écrit :
Une question me vient à la tête
Vu la petite taille de mon parc clientèle, il m'est financièrement impossible de me faire certifier par un organisme accrédité, je vais donc faire de l'auto-certification.
Ceci est possible quand on est éditeur de logiciels.
Mais ma question est "comment se définit un éditeur de logiciels" du point de vue de l'administration fiscale ?
Je ne diffuse pas en boutique, ni sur Internet, je ne fais pas de pub dans les journaux informatiques, ni sur la revue ficusiaire. Je vends et installe en direct une solution intégrée dans laquelle la partie "caisse" ne représente qu'un petit bout.

bonsoir andré ,
le code APE
58.29C : Edition de logiciels applicatifs
62.01Z : Programmation informatique -- faut voir , c'est pas sur


Ouille ... Je suis en 7022Z, et je n'ai pas la possibilité de changer.
Posté le 23 octobre 2017 - 08:10
Laurent P a écrit :

> Même chose pour les bon cadeaux qui doivent etre également tracés. Autre chose importante il est interdit de pouvoir imprimer un aperçu d'un ticket ou d'une facture .

On doit quand même pouvoir le faire avec un filigrane "specimen" ou "aperçu" ou toute autre mention qui indique que ce n'est pas une facture ou un ticket.
Membre enregistré
198 messages
Popularité : +2 (2 votes)
Posté le 23 octobre 2017 - 08:43
Laurent P a écrit :
> Tant qu'une facture / ticket ou ce que l'on veut n'est pas numéroté on en fait ce que l'on veut . Les tickets en attente, client en compte ou autre sont effectivement un pb mais à ce moment il suffit de les appeler comme vous voulez , pour ma part çà reste des tickets en attente. La solution la plus radicale et préconisée et de supprimer tous le soirs tous les tickets en attente....

tu ne peux alors pas prouver par tes signatures que quelqu'un à supprimer un ticket . tu peux juste le faire par une autre base avec un mouchard ...
Posté le 23 octobre 2017 - 10:43
Bjr,

GAD a utilisé son clavier pour écrire :
tu ne peux alors pas prouver par tes signatures que quelqu'un à supprimer un
ticket . tu peux juste le faire par une autre base avec un mouchard ...


ce que je voulais dire, c 'est qu'il faut bien a un moment, "ne pas
tracer". J' entends par la, qu'il y a plein de demarches commercieales
qui n'aboutissent pas.

Sinon, (je sais, je fais exprs, c 'est absurde, mais pkoi pas..)
- on doit ouvrir un ticket non effacable des qu'un client passe la
porte....???
- on doit se servir d'une calculatrice certifiée des qu'on aide un
client a affiner une commande ??

y a un moment, ou ca va plus... et ce moment, m'a l'air, pour l'instant
, d'etre tres mal défini !!

a plus


--
-------------------------------------------------------------
www.ctc-soft.com
Gestion biblo-documentaire (free-share)
Comptabilité shareware
Logiciels de Gestion de saisie terrain
Spécialisé Tournées de boulangers
-------------------------------------------------------------
Membre enregistré
198 messages
Popularité : +2 (2 votes)
Posté le 23 octobre 2017 - 11:21
non , c'est clair , tous les enregistrements doivent être inaltérable , si tu n'enregistre pas , rien ne se passe , donc:
tu ouvre un ticket , tu l'abandonne , il n'a pas besoin d'être sécurisé .
tu ouvre un ticket , tu l'enregistre , (même si il n'a pas de numéro ) , tu le sécurise , c'est la que je ne suis pas d'accord avec la NF525 .
le mot ticket peut être permuter en 'commande , facture , devis' si un devis à permis d'établir une facture par exemple ...
Pour moi , c'est comme ceci qu'il faut interpréter cette loi mais je peux me trompé ... mais de dire qu'un ticket sans numéro n'en est pas un , donc on ne le sécurisé pas , cela ne va pas être facile de faire avaler ceci au contrôleur .
pour ta calculatrice , elle n'enregistre pas , donc pas besoin de certification (elle ne doit pas délivrer de ticket) ..... lol
Posté le 24 octobre 2017 - 07:32
bonjour, regardez la fonction iImpressionDemandée()

cela répond au problème de l'aperçu
bon dev
Posté le 24 octobre 2017 - 11:54
ANDRE THEVENIN a écrit :
Une question me vient à la tête
Vu la petite taille de mon parc clientèle, il m'est financièrement impossible de me faire certifier par un organisme accrédité, je vais donc faire de l'auto-certification.
Ceci est possible quand on est éditeur de logiciels.
Mais ma question est "comment se définit un éditeur de logiciels" du point de vue de l'administration fiscale ?
Je ne diffuse pas en boutique, ni sur Internet, je ne fais pas de pub dans les journaux informatiques, ni sur la revue ficusiaire. Je vends et installe en direct une solution intégrée dans laquelle la partie "caisse" ne représente qu'un petit bout.


http://bofip.impots.gouv.fr/bofip/10691-PGP.html…
<<300
On entend par « éditeur » du logiciel ou du système de caisse la personne qui détient le code source
du logiciel ou système et qui a la maîtrise de la modification des paramètres de ce produit.
>>

concernant le code APE, il n'est mentionné que dans l'article 370 qui concerne un éditeur qui veux attester du logiciel qu'il utilise lui-même.
<< L'éditeur du logiciel ou système qui fournit l'attestation individuelle ne peut pas être l'assujetti à la TVA au nom duquel est établie l'attestation, sauf si l'activité déclarée par cet assujetti (code NACE) est une activité d'édition de logiciels de comptabilité ou de gestion ou de systèmes de caisse>>

Donc si tu développes un logiciel de caisse et que tu le vends à une autre société, il n'y a aucun problème pour délivrer une attestation..
Posté le 24 octobre 2017 - 12:04
GAD a écrit :
Execute a écrit :
voici comment je procède (restauration à emporter)

1) le client commande, tout peut être ajouté/supprimé, on a un log mais pas d'autre trace
2) la commande est imprimée et/ou envoyée en cuisine, on peut toujours supprimer mais cela apparaît comme supprimé dans la commande
3) au moment du paiement, impression d'un ticket inaltérable des produits vendus (et eux uniquement), ce qui fige la commande par la même occasion (impossible d'ajouter, suppression en cuisine possible).


oui mais dans les questions/réponses du ministère , c'est clair :

22. Qu’entend-on par les données d’origine « enregistrées initialement » ? À partir de quel moment doit-on les rendre inaltérables ?
Éléments de réponse :
Les données de l'opération doivent être inaltérables de la prise de commande jusqu'à l'enregistrement du règlement.
Cette inaltérabilité est garantie par :
*L'absence de fonctionnalité logicielle permettant une modification/suppression de la
transaction et la preuve que ce système n'a pas été contourné.
*Une preuve numérique permettant de détecter si la donnée élémentaire a été modifiée depuis
son enregistrement.

'Les données de l'opération doivent être inaltérables de la prise de commande jusqu'à l'enregistrement du règlement' : C'est donc pas bon ....


c'est une façon de voir...mais comme je l'explique quand on arrive au règlement, plus rien n'est modifiable, donc l'ensemble de la transaction depuis la prise de commande jusqu'au règlement est sécurisé...mais ça ne veux pas dire qu'une commande qui n'abouti pas à une vente doit être sécurisée. Pour rappel il s'agit ici de luter contre la fraude à la TVA, il n'y a TVA qu'à partir du moment où il y a vente. De plus la commande n'est librement modifiable que lorsqu'elle n'a fait l'objet d'aucune impression ni validation pour la cuisine...mais même là toutes les opérations sont visibles dans le log.
Membre enregistré
198 messages
Popularité : +2 (2 votes)
Posté le 24 octobre 2017 - 16:00
Execute a écrit :

http://bofip.impots.gouv.fr/bofip/10691-PGP.html…
<<300
On entend par « éditeur » du logiciel ou du système de caisse la personne qui détient le code source
du logiciel ou système et qui a la maîtrise de la modification des paramètres de ce produit.


concernant le code APE, il n'est mentionné que dans l'article 370 qui concerne un éditeur qui veux attester du logiciel qu'il utilise lui-même.
<< L'éditeur du logiciel ou système qui fournit l'attestation individuelle ne peut pas être l'assujetti à la TVA au nom duquel est établie l'attestation, sauf si l'activité déclarée par cet assujetti (code NACE) est une activité d'édition de logiciels de comptabilité ou de gestion ou de systèmes de caisse>>

Donc si tu développes un logiciel de caisse et que tu le vends à une autre société, il n'y a aucun problème pour délivrer une attestation..


oui pourquoi pas , mais je doute qu'un boucher-charcutier est le droit de vendre un logiciel de restaurant qu'il développe au font de sa boutique :)
mais sur le papier , tu as entièrement raison ...


Execute a écrit :
GAD a écrit :
Execute a écrit :
voici comment je procède (restauration à emporter)

1) le client commande, tout peut être ajouté/supprimé, on a un log mais pas d'autre trace
2) la commande est imprimée et/ou envoyée en cuisine, on peut toujours supprimer mais cela apparaît comme supprimé dans la commande
3) au moment du paiement, impression d'un ticket inaltérable des produits vendus (et eux uniquement), ce qui fige la commande par la même occasion (impossible d'ajouter, suppression en cuisine possible).


oui mais dans les questions/réponses du ministère , c'est clair :

22. Qu’entend-on par les données d’origine « enregistrées initialement » ? À partir de quel moment doit-on les rendre inaltérables ?
Éléments de réponse :
Les données de l'opération doivent être inaltérables de la prise de commande jusqu'à l'enregistrement du règlement.
Cette inaltérabilité est garantie par :
*L'absence de fonctionnalité logicielle permettant une modification/suppression de la
transaction et la preuve que ce système n'a pas été contourné.
*Une preuve numérique permettant de détecter si la donnée élémentaire a été modifiée depuis
son enregistrement.

'Les données de l'opération doivent être inaltérables de la prise de commande jusqu'à l'enregistrement du règlement' : C'est donc pas bon ....


c'est une façon de voir...mais comme je l'explique quand on arrive au règlement, plus rien n'est modifiable, donc l'ensemble de la transaction depuis la prise de commande jusqu'au règlement est sécurisé...mais ça ne veux pas dire qu'une commande qui n'abouti pas à une vente doit être sécurisée. Pour rappel il s'agit ici de luter contre la fraude à la TVA, il n'y a TVA qu'à partir du moment où il y a vente. De plus la commande n'est librement modifiable que lorsqu'elle n'a fait l'objet d'aucune impression ni validation pour la cuisine...mais même là toutes les opérations sont visibles dans le log.


La phrase 'Les données de l'opération doivent être inaltérables de la prise de commande jusqu'à l'enregistrement du règlement.' peut-etre interpréter , mais changer 'de' en 'depuis' , pour n'avoir qu'a signé à un moment plus simple est douteux .
au sujet de la tva , par exemple :
La tva existe dès l'instant ou tu reçois de l'argent ou que tu créer une facture (ticket) ...
si tu prends 20 euros en espèces sans faire de facture , tu dois de la tva .... si tu fais une commande de 100 euros et que tu prends un acompte de 20 euros , tu dois de la tva sur 20 euros !! (il faut faire une facture d'acompte de 20€)
si tu fais une facture de 100€ sans quelle soit payer , tu dois de la tva (il faut faire un avoir au client pour l'annuler et récupérer cette tva)
on vois que la fraude à la tva peut être partout dans le processus de vente
Posté le 27 octobre 2017 - 09:41
GAD a écrit :

au sujet de la tva , par exemple :
La tva existe dès l'instant ou tu reçois de l'argent ou que tu créer une facture (ticket) ...
si tu prends 20 euros en espèces sans faire de facture , tu dois de la tva .... si tu fais une commande de 100 euros et que tu prends un acompte de 20 euros , tu dois de la tva sur 20 euros !! (il faut faire une facture d'acompte de 20€)
si tu fais une facture de 100€ sans quelle soit payer , tu dois de la tva (il faut faire un avoir au client pour l'annuler et récupérer cette tva)
on vois que la fraude à la tva peut être partout dans le processus de vente


on est d'accord mais pour moi si tu encaisses 20€ tu dois forcément fournir un ticket et tu entres donc dans le cas d'inaltérabilité. un acompte aussi doit faire l'objet d'une facture. Personnellement je ne paie jamais sans facture, document réclamé par mon comptable pour chaque dépense de toute façon.

donc oui tu peux frauder en ne saisissant pas les encaissements, mais ce n'est pas le problème de l'éditeur ça...et sécuriser les commandes ni changerais rien.
Membre enregistré
198 messages
Popularité : +2 (2 votes)
Posté le 30 octobre 2017 - 13:54
Non l'obligation de facture (ticket) seulement si supérieur à 15,24€ ou si le client la demande : https://www.economie.gouv.fr/files/directions_services/dgccrf/documentation/publications/depliants/info_prix.pdf
en faites un ticket commencé ( et non imprimé ou payé sans numéro ) est une commande en soit , c'est pour çà qu'il faut la sécurisé .
il me semble que la NF525 à fait un changement au début du mois , non ? si quelqu'un peut confirmé ... ou pas ...
Posté le 31 octobre 2017 - 08:32
GAD a écrit :
Non l'obligation de facture (ticket) seulement si supérieur à 15,24€ ou si le client la demande : https://www.economie.gouv.fr/files/directions_services/dgccrf/documentation/publications/depliants/info_prix.pdf
en faites un ticket commencé ( et non imprimé ou payé sans numéro ) est une commande en soit , c'est pour çà qu'il faut la sécurisé .
il me semble que la NF525 à fait un changement au début du mois , non ? si quelqu'un peut confirmé ... ou pas ...


dans mon soft tous les tickets sont imprimés...mais même s'il ne l'était pas il est créé informatiquement, ce qui revient au même, d'ailleurs c'est une dispense de "remise de note", pas de comptabilisation du paiement :)

en y réfléchissant j'ai trouvé un scénario ou il pourrait être utile de saisir la commande sans la valider...devant le client je tape sa commande sur la caisse, je lui demande le total, il paie et s'en va avec sa commande...hop j'annule la commande et je glisse son billet dans ma poche....mais ça ne fonctionnerait que pour une commande qui ne demande aucun préparation...dans une pizzeria c'est assez limité...mais on pourrait en effet détourner tout ce qui est boissons en faisant croire au client qu'on a saisie sa commande....mais il est encore plus simple de ne saisir la commande que si le client réclame son ticket....je vais y réfléchir.
Posté le 15 novembre 2017 - 16:48
Bonjour à tous,

Ce topic étant très actif sur le sujet, je me permets une petite question. J'ai bien compris le système de chaînage des enregistrements ou bien la signature d'un fichier d'archive mais il est mentionné ceci "... l'administration fiscale puisse accéder aux données d'origine enregistrée initialement..."

Avec la signature je peux aisément savoir qu'une modification a eu lieu sur une ligne ticket ou sur un règlement (partons du principe que la modification a eu lieu directement dans la base de données par un petit malin). Cependant, il m'est impossible de retrouver le delta entre les deux signatures... Comment est-ce que vous avez résolu ce problème ?

Merci d'avance les gars !
Bisous,
Posté le 16 novembre 2017 - 10:48
Le 15/11/2017 à 15:48, Chris a écrit :
Bonjour à tous,

Ce topic étant très actif sur le sujet, je me permets une petite
question. J'ai bien compris le système de chaînage des enregistrements
ou bien la signature d'un fichier d'archive mais il est mentionné ceci
"... l'administration fiscale puisse accéder aux données d'origine
enregistrée initialement..."

Avec la signature je peux aisément savoir qu'une modification a eu lieu
sur une ligne ticket ou sur un règlement (partons du principe que la
modification a eu lieu directement dans la base de données par un petit
malin). Cependant, il m'est impossible de retrouver le delta entre les
deux signatures... Comment est-ce que vous avez résolu ce problème ?

Merci d'avance les gars !
Bisous,


Bonjour,

Au final, cela n'a pas d’intérêt de connaitre le delta, le petit malin à
pu carrément supprimer des lignes.

Par contre, cela permet au contrôleur de faire l'équivalent d'un rejet
de comptabilité et de lancer un contrôle plus poussé si des écarts de
signature sont détectés.

Bon dev,

Fred.
Posté le 17 novembre 2017 - 08:14
Chris a écrit :
Bonjour à tous,

Ce topic étant très actif sur le sujet, je me permets une petite question. J'ai bien compris le système de chaînage des enregistrements ou bien la signature d'un fichier d'archive mais il est mentionné ceci "... l'administration fiscale puisse accéder aux données d'origine enregistrée initialement..."

Avec la signature je peux aisément savoir qu'une modification a eu lieu sur une ligne ticket ou sur un règlement (partons du principe que la modification a eu lieu directement dans la base de données par un petit malin). Cependant, il m'est impossible de retrouver le delta entre les deux signatures... Comment est-ce que vous avez résolu ce problème ?

Merci d'avance les gars !
Bisous,


l'éditeur n'est pas responsable des modifications faites directement dans la base de données, mais il a une obligation de sécurisation des données (inaltérabilité) et d'archivage. La question est donc plutôt est-ce que le système met en oeuvre ce qu'il faut pour respecter ces deux conditions....sachant que la loi n'impose aucun cahier des charges ni aucune technologie c'est ouvert à la libre interprétation.
Posté le 17 novembre 2017 - 11:23
Je vois. La seule preuve d'un système de sécurité est donc suffisante.

Merci du coup de pouce.

Bon dev,
Posté le 28 novembre 2017 - 18:47
Bonjour,

J'ai une question plus de compta que de nf525, mais peut-être que quelqu'un ici aura la réponse.
J'ai un client que je dois installer en LOF2016 d'ici la fin de l'année. Je suis quasi prêt sauf un détail qui me travaille un peu.
Ce client est ouvert en gros de 10 H à 3H du matin.
Il sort tous les jours/semaines/mois des documents de gestion sur ses ventes, en arrêtant toujours ses comptes à 4H00 le matin. Par exemple demain, il va sortir un document du 28/11/2017 à 10H au 29/11/2017 à 4H.
Au niveau des clôtures quotidiennes/mensuelles/exercice, est-ce qu'il est possible de faire ce décalage horaire, ou est-ce que je dois me caler de 0H à 0H ?
J'imagine bien que le décalage n'est pas possible, mais du coup ça veut dire que ses documents de gestion ne vont pas être cohérents avec les clôtures comptables. Au final l'écart va être faible, mais en compta un centime c'est déjà trop :-)
Membre enregistré
1 603 messages
Popularité : +64 (70 votes)
Posté le 29 novembre 2017 - 08:48
Bonjour

Au TDF à Strasbourg, il a été présenté une entreprise dont l'organisation est conforme à la certification NF 525 (Ch...) .

En particulier il semble possible de rendre les fichiers inaltérables. Si j'ai bien compris, un enregistrement écrit ne peut plus alors ni être modifié ni être supprimé même par le centre de contrôle HFSQL. Les codes de cryptage et de hash semblent aussi être de dernière génération.
A priori tous les outils sont présents pour respecter cette certification...
Après bien sûr je me pose la question des archivages. Faut il conserver l'historiques des écritures comptables à vie puisque leurs suppressions semblent impossible?

--
Cordialement
François

http://intra.fr http://intrasoftware.fr
Posté le 01 décembre 2017 - 09:16
Bjr,

"ÿÿÿÿÿÿÿÿÿÿ" avait prétendu :
Bonjour

Au TDF à Strasbourg, il a été présenté une entreprise dont l'organisation est
conforme à la certification NF 525 (Ch...) .

En particulier il semble possible de rendre les fichiers inaltérables. Si
j'ai bien compris, un enregistrement écrit ne peut plus alors ni être modifié
ni être supprimé même par le centre de contrôle HFSQL. Les codes de cryptage
et de hash semblent aussi être de dernière génération.


je viens d'essayer avec la nouvelle V23.
Bon meme en pre-version ca marche deja.
Petit essai sur des fichiers existants, en C/S pas concluant , mais je
vais re-essayer.
Par contre, sur un nouveau fichier, ca marche...

A voir aussi, la fonction HVerifieInaltéré qui permet de savoir si une
modif a été pratiquée, meme avec un editeur hexa....

ca me semble pas mal, perso, je ne comptais pas "passer" a la norme, je
vais sans doute le faire grace a ca..

a plus

--
-------------------------------------------------------------
www.ctc-soft.com
Gestion biblo-documentaire (free-share)
Comptabilité shareware
Logiciels de Gestion de saisie terrain
Spécialisé Tournées de boulangers
-------------------------------------------------------------
Posté le 01 décembre 2017 - 09:18
Bjr,

ANDRE THEVENIN a exprimé avec précision :
Bonjour,

J'ai une question plus de compta que de nf525, mais peut-être que quelqu'un
ici aura la réponse.
J'ai un client que je dois installer en LOF2016 d'ici la fin de l'année. Je
suis quasi prêt sauf un détail qui me travaille un peu.
Ce client est ouvert en gros de 10 H à 3H du matin.
Il sort tous les jours/semaines/mois des documents de gestion sur ses ventes,
en arrêtant toujours ses comptes à 4H00 le matin. Par exemple demain, il va
sortir un document du 28/11/2017 à 10H au 29/11/2017 à 4H.
Au niveau des clôtures quotidiennes/mensuelles/exercice, est-ce qu'il est
possible de faire ce décalage horaire, ou est-ce que je dois me caler de 0H à
0H ?
J'imagine bien que le décalage n'est pas possible, mais du coup ça veut dire
que ses documents de gestion ne vont pas être cohérents avec les clôtures
comptables. Au final l'écart va être faible, mais en compta un centime c'est
déjà trop :-)


Si ca peur repondre a ta question, dans mes clients boulangers, j'en ai
certais qui cloturent leut jounée a 14h. Vu leur activité, c'est plus
pratique.
Il n'y a eu aucun probleme, leur comptable a accepté.
L'important apres, c 'est de se tenir a cette facon de faire...
Que toutes les journées "comptables" fassent 24h.

a plus

--
-------------------------------------------------------------
www.ctc-soft.com
Gestion biblo-documentaire (free-share)
Comptabilité shareware
Logiciels de Gestion de saisie terrain
Spécialisé Tournées de boulangers
-------------------------------------------------------------
Membre enregistré
198 messages
Popularité : +2 (2 votes)
Posté le 01 décembre 2017 - 10:38
Dc a écrit :
Bjr,

"ÿÿÿÿÿÿÿÿÿÿ" avait prétendu :
Bonjour

Au TDF à Strasbourg, il a été présenté une entreprise dont l'organisation est
conforme à la certification NF 525 (Ch...) .

En particulier il semble possible de rendre les fichiers inaltérables. Si
j'ai bien compris, un enregistrement écrit ne peut plus alors ni être modifié
ni être supprimé même par le centre de contrôle HFSQL. Les codes de cryptage
et de hash semblent aussi être de dernière génération.


je viens d'essayer avec la nouvelle V23.
Bon meme en pre-version ca marche deja.
Petit essai sur des fichiers existants, en C/S pas concluant , mais je
vais re-essayer.
Par contre, sur un nouveau fichier, ca marche...

A voir aussi, la fonction HVerifieInaltéré qui permet de savoir si une
modif a été pratiquée, meme avec un editeur hexa....

ca me semble pas mal, perso, je ne comptais pas "passer" a la norme, je
vais sans doute le faire grace a ca..

a plus

--
-------------------------------------------------------------
www.ctc-soft.com
Gestion biblo-documentaire (free-share)
Comptabilité shareware
Logiciels de Gestion de saisie terrain
Spécialisé Tournées de boulangers
-------------------------------------------------------------


je ne comprends pas , c'est les fichiers de base de donnée qui ont un système d'anti-modification intégré ?
Posté le 01 décembre 2017 - 11:28
Bjr,

GAD a couché sur son écran :
je ne comprends pas , c'est les fichiers de base de donnée qui ont un système
d'anti-modification intégré ?


oui tout a fait, avec systeme de signature, chainage etc...
les outils et softs de pcsoft ne peuvent pas modifier une ligne dés
qu'elle a été ecrite.
j'ai testé sur un fichier qui n'en a pas besoin, style fichier
clients... c 'est impressionant, sans modifier ton code, tu rentres
dans la fenetre de creation de client, tu mets ce que tu veux, tu
"HAjoute" ... si tu reouvres ta fenetre avec cet enregistrment, ou que
tu veux editer par une table , tu as une fenetre qui te dit que c 'est
impossible.

tu veux rajouter une autre ligne ,tu peux.

avec WDMAp, c 'est pareil, sauf que j'ai pas trouver comment ajouter...
masi ca c 'est pas grave.

pour parer aux utilisations d'outils "sauvages" que pcsoft ne peut
evidemment pas controler , il a une fonction de verification prévue.

Le seul probleme pourrait venir de ce que la signature de la ligne ne
soit pas accessible pour etre imprimée sur le ticket....

a plus

--
-------------------------------------------------------------
www.ctc-soft.com
Gestion biblo-documentaire (free-share)
Comptabilité shareware
Logiciels de Gestion de saisie terrain
Spécialisé Tournées de boulangers
-------------------------------------------------------------
Membre enregistré
198 messages
Popularité : +2 (2 votes)
Posté le 01 décembre 2017 - 12:54
Dc a écrit :
oui tout a fait, avec systeme de signature, chainage etc...
les outils et softs de pcsoft ne peuvent pas modifier une ligne dés
qu'elle a été ecrite.
j'ai testé sur un fichier qui n'en a pas besoin, style fichier
clients... c 'est impressionant, sans modifier ton code, tu rentres
dans la fenetre de creation de client, tu mets ce que tu veux, tu
"HAjoute" ... si tu reouvres ta fenetre avec cet enregistrment, ou que
tu veux editer par une table , tu as une fenetre qui te dit que c 'est
impossible.

tu veux rajouter une autre ligne ,tu peux.

avec WDMAp, c 'est pareil, sauf que j'ai pas trouver comment ajouter...
masi ca c 'est pas grave.

pour parer aux utilisations d'outils "sauvages" que pcsoft ne peut
evidemment pas controler , il a une fonction de verification prévue.

Le seul probleme pourrait venir de ce que la signature de la ligne ne
soit pas accessible pour etre imprimée sur le ticket....

a plus


le deuxième problème , c'est que tu ne peux pas prouver par toi même que l'enregistrement n'a pas été modifier puisque ce n'est pas toi qui gère la signature , il faudrait que PCSoft certifie le système , a moins que cela soit toi même qui gère la clé privé et qu'il soit vérifiable par un autre système avec la clé public ... (avec la signature de l'enregistrement précédent est suivant , je te rappelle)
enfin si cela fonctionne , ce serait effectivement une super évolution , malgré 1 an (pour pas dire deux) de retard puisque janvier 2018 est dans 30 jours maintenant ...
Posté le 01 décembre 2017 - 14:44
Bjr,

GAD a présenté l'énoncé suivant :
Dc a écrit :
oui tout a fait, avec systeme de signature, chainage etc...
les outils et softs de pcsoft ne peuvent pas modifier une ligne dés
qu'elle a été ecrite.
j'ai testé sur un fichier qui n'en a pas besoin, style fichier
clients... c 'est impressionant, sans modifier ton code, tu rentres
dans la fenetre de creation de client, tu mets ce que tu veux, tu
"HAjoute" ... si tu reouvres ta fenetre avec cet enregistrment, ou que
tu veux editer par une table , tu as une fenetre qui te dit que c 'est
impossible.

tu veux rajouter une autre ligne ,tu peux.

avec WDMAp, c 'est pareil, sauf que j'ai pas trouver comment ajouter...
masi ca c 'est pas grave.

pour parer aux utilisations d'outils "sauvages" que pcsoft ne peut
evidemment pas controler , il a une fonction de verification prévue.

Le seul probleme pourrait venir de ce que la signature de la ligne ne
soit pas accessible pour etre imprimée sur le ticket....

a plus

le deuxième problème , c'est que tu ne peux pas prouver par toi même que
l'enregistrement n'a pas été modifier puisque ce n'est pas toi qui gère la
signature , il faudrait que PCSoft certifie le système , a moins que cela
soit toi même qui gère la clé privé et qu'il soit vérifiable par un autre
système avec la clé public ... (avec la signature de l'enregistrement
précédent est suivant , je te rappelle)
enfin si cela fonctionne , ce serait effectivement une super évolution ,
malgré 1 an (pour pas dire deux) de retard puisque janvier 2018 est dans 30
jours maintenant ...


Ben si, le chainage est prévue... puisque la fonction
HVerifieInalterabilité peut dire s'il y a eu modif.

je vais demander au support.. on verra bien

a plus

--
-------------------------------------------------------------
www.ctc-soft.com
Gestion biblo-documentaire (free-share)
Comptabilité shareware
Logiciels de Gestion de saisie terrain
Spécialisé Tournées de boulangers
-------------------------------------------------------------
Membre enregistré
198 messages
Popularité : +2 (2 votes)
Posté le 01 décembre 2017 - 16:43
tu choisi la clé privé ? pour l'algo de 'sécurisation et d'inaltérabilité' des lignes ?
Posté le 03 décembre 2017 - 10:29
Bjr,

GAD a présenté l'énoncé suivant :
tu choisi la clé privé ? pour l'algo de 'sécurisation et d'inaltérabilité'
des lignes ?


Non, et ?

a plus

--
-------------------------------------------------------------
www.ctc-soft.com
Gestion biblo-documentaire (free-share)
Comptabilité shareware
Logiciels de Gestion de saisie terrain
Spécialisé Tournées de boulangers
-------------------------------------------------------------
Membre enregistré
198 messages
Popularité : +2 (2 votes)
Posté le 03 décembre 2017 - 23:23
Bonsoir,
en cas de contrôle des services fiscaux , tu justifie comment la sécurisation ? tu leur réponds qu'il faut voir avec PCSoft ? ta clé privé de signature est ta seul preuve ... enfin je pense
Posté le 04 décembre 2017 - 10:00
Bjr,

GAD a pensé très fort :
Bonsoir,
en cas de contrôle des services fiscaux , tu justifie comment la sécurisation
? tu leur réponds qu'il faut voir avec PCSoft ? ta clé privé de signature est
ta seul preuve ... enfin je pense


(j'ai fait une requete a support, j'attends la reponse)

Dans le cas ou une boite informatique est suspecte d'avoir permis une
fraude (puisque 'est la base meme de la creation de cette loi depuis 2
ans...) je vois pas en quoi une "clé privé de ta signature" est plus
probante qu'une signature de pcsoft.
Apres, j'ai pas tout étudié dans les tectes... :-)

Et y a pas un endroit dans les textes, ou ils disent que les moyens
techniques pour arriver a la securisation sont libres ?

D'autres part, pour arriver à "confondre" l'informaticien concepteur,
ils faut qu'ils prouvent que la fraude a été faite GRACE au logiciel.
Donc ?

a plus

--
-------------------------------------------------------------
www.ctc-soft.com
Gestion biblo-documentaire (free-share)
Comptabilité shareware
Logiciels de Gestion de saisie terrain
Spécialisé Tournées de boulangers
-------------------------------------------------------------
Membre enregistré
198 messages
Popularité : +2 (2 votes)
Posté le 04 décembre 2017 - 11:47
oui tout a fait , c'est mieux si la sécurisation est fait par PCSoft , mais il faudrait que le contrôle de la sécurisation des fichiers puissent être fait par les impôts en leurs donnant une clé est un algorithme (comme ecdsa xx avec une clé public xxxxx et de tel façon)
Membre enregistré
43 messages
Posté le 18 décembre 2017 - 23:44
Bonjour,

Finalement, peut-on utiliser les fichiers inaltérables de windev pour enregistrer les données et ainsi "prouver" qu'il n'y a eu aucune modification des enregistrements ?

En cas de contrôle des données par les services fiscaux, cela suffit-il ?

Les certificats peuvent-il être illimité dans le temps ? Et comment en créer un ?

Je n'ai pas encore compris ce qu'il faut donner aux services fiscaux afin de contrôler les données ?

Merci,
Message modifié, 18 décembre 2017 - 23:59
Membre enregistré
91 messages
Popularité : +5 (5 votes)
Posté le 19 décembre 2017 - 10:18
Bonjour,

Ca tombe bien j'ai laissé un post hier sur ce pb. Je le remet:

Au début j'avais commencé à chiffrer avec un certificat (.PFX) obtenu en ayant généré auparavant une clé privée / publique avec openSSL.
Cela fonctionnait très bien avec la fonction CertificatSigneChaine ( ...., certificatseul + SHA256).
Bref jusqu'au jour ou Infocert me dit qu'il ne faut pas utiliser les certificats limités dans le temps mais juste avec la clé privée.
(ou alors un certificat non limité dans le temps).

Alors est ce qu une personne a déjà réussi à signer avec simplement une clé privée générée avec openSSL (ex: private_key.pem) en utilisant la fonction CertificatSigneChaine ?? Si oui, ce serait vraiment sympa de me (nous) dire comment vous avez fait.
Merci.
Cdlt

--
Vincent Roy

Ennovsys - Développement d'app sur mesure
http://www.ennovsys.fr
Posté le 19 décembre 2017 - 13:49
Ennovsys a écrit :
Bonjour,

Ca tombe bien j'ai laissé un post hier sur ce pb. Je le remet:

Au début j'avais commencé à chiffrer avec un certificat (.PFX) obtenu en ayant généré auparavant une clé privée / publique avec openSSL.
Cela fonctionnait très bien avec la fonction CertificatSigneChaine ( ...., certificatseul + SHA256).
Bref jusqu'au jour ou Infocert me dit qu'il ne faut pas utiliser les certificats limités dans le temps mais juste avec la clé privée.
(ou alors un certificat non limité dans le temps).

Alors est ce qu une personne a déjà réussi à signer avec simplement une clé privée générée avec openSSL (ex: private_key.pem) en utilisant la fonction CertificatSigneChaine ?? Si oui, ce serait vraiment sympa de me (nous) dire comment vous avez fait.
Merci.
Cdlt

--
Vincent Roy

Ennovsys - Développement d'app sur mesure
http://www.ennovsys.fr


Bonjour,

je vais avoir le même problème puisque je fais la même chose que toi.
Je passe par LNE au lieu d'INFOCERT, ils sont peut être moins exigeant...

Sais-tu pourquoi ils n'acceptent pas de certificiat limité dans le temps ?

Quand tu génères le certificat toi même avec OpenSSL, tu peux choisir la durée.
Si tu mets 50 ans ça leur suffit pas ?!

Michaël.
Posté le 19 décembre 2017 - 16:23
Bonjour,

Sylvain a formulé la demande :
Bonjour,

Finalement, peut-on utiliser les fichiers inaltérables de windev pour
enregistrer les données et ainsi "prouver" qu'il n'y a eu aucune modification
des enregistrements ?

En cas de contrôle des données par les services fiscaux, cela suffit-il ?

Les certificats peuvent-il être illimité dans le temps ? Et comment en créer
un ?

Je n'ai pas encore compris ce qu'il faut donner aux services fiscaux afin de
contrôler les données ?

Merci,


Je me suis aussi posé cette question, et je l'ai posée au support
gratuit, voici la réponse que j'ai reçue :

"Les tables inaltérables facilitent l'implémentation de la norme NF525
mais pour le respect de la norme ce ne sera pas suffisant en soi.
Manqueront notamment la signature asymétrique comportant une liste de
rubriques, dans un ordre défini par la norme et dans un format précis,
par exemple en unités fractionnaires de la monnaie sans séparateur
décimal .
Je vous souhaite de vons développements...etc... "

je te laisse aprécier la réponse, j'ai pas tout tout compris... mais
bon ..

a plus

--
-------------------------------------------------------------
www.ctc-soft.com
Gestion biblo-documentaire (free-share)
Comptabilité shareware
Logiciels de Gestion de saisie terrain
Spécialisé Tournées de boulangers
-------------------------------------------------------------
Membre enregistré
91 messages
Popularité : +5 (5 votes)
Posté le 19 décembre 2017 - 16:31
A priori ce n'est pas accepté par l'administration fiscale ...

--
Vincent Roy

Ennovsys - Développement d'app sur mesure
http://www.ennovsys.fr
Membre enregistré
91 messages
Popularité : +5 (5 votes)
Posté le 20 décembre 2017 - 09:46
Bonjour,

Je viens d'avoir un auditeur de chez Infocert vraiment hyper compétent. Donc Infocert ne veut pas de certificat limité dans le temps.
Il m'a dit d'utiliser pour WinDev la librairie .NET Bouncy Castle http://www.bouncycastle.org/csharp/index.html pour chiffrer avec simplement la clé privée.
De ce qu'il m'a dit également, la version 23 pourrait chiffrer avec cette clé privée.

Donc je ne pense pas être le seul dans ce cas. Est ce que quelqu'un a déjà été confronté à ces problèmes ?
Merci.
Cdlt

--
Vincent Roy

Ennovsys - Développement d'app sur mesure
http://www.ennovsys.fr
Membre enregistré
91 messages
Popularité : +5 (5 votes)
Posté le 20 décembre 2017 - 10:32
Bon, Infocert me confirme finalement que nous pouvons utiliser la signature seule contenu dans un certificat même si ce certificat expire ....

Donc CertificatSigneChaine (...., certificat, CertSignatureSeule+SHA256)

Cdlt

--
Vincent Roy

Ennovsys - Développement d'app sur mesure
http://www.ennovsys.fr
Membre enregistré
198 messages
Popularité : +2 (2 votes)
Posté le 20 décembre 2017 - 16:13
tu peux signer avec ce que tu veux !!! l'important c'est que tu puisse contrôler que la signature est valide .
Membre enregistré
198 messages
Popularité : +2 (2 votes)
Posté le 20 décembre 2017 - 17:33
bonjour,

J'ai un gros soucis sur la compréhension de ceci :

<Les systèmes de caisse doivent, de plus, prévoir obligatoirement une clôture journalière et une clôture mensuelle. Pour chaque clôture - journalière, mensuelle et annuelle (ou par exercice) - des données cumulatives et récapitulatives, intègres et inaltérables, doivent être calculées par le système de caisse, comme le cumul du grand total de la période et le total perpétuel pour la période comptable.>

On entend par « cumul du grand total de la période » le cumul de chiffre d'affaires décompté depuis l'ouverture de la période comptable en cours.
On entend par « total perpétuel » le cumul de chiffre d'affaires décompté depuis le début de l'utilisation du système.

si quelqu'un à un exemple de ce qu'il fait , ce serait sympa ....
Membre enregistré
17 messages
Posté le 21 décembre 2017 - 12:42
Bonjour,

je pense que nous avons été à la même réunion, et effectivement la personne était vraiment compétente.
Tu as entendu parlé à cette réunion du fichier JET. As-tu de ton côté la partie du texte de loi qui fait référence à ce sujet ?
Membre enregistré
198 messages
Popularité : +2 (2 votes)
Posté le 21 décembre 2017 - 15:11
Jeff51 a écrit :
Bonjour,

je pense que nous avons été à la même réunion, et effectivement la personne était vraiment compétente.
Tu as entendu parlé à cette réunion du fichier JET. As-tu de ton côté la partie du texte de loi qui fait référence à ce sujet ?


ta réponse s'adresse à qui ?
Posté le 21 décembre 2017 - 16:32
GAD a écrit :
> tu peux signer avec ce que tu veux !!! l'important c'est que tu puisse contrôler que la signature est valide .


L'important est aussi de pouvoir prouver que le procédé de signature est robuste.
Membre enregistré
17 messages
Posté le 26 décembre 2017 - 10:29
Ennovsys du 20/12
Membre enregistré
43 messages
Posté le 29 décembre 2017 - 14:51
Quels sont les rubriques obligatoires à mettre dans le fichier d'audit (Inaltérable = signature ECDSA de chaque enregistrement avec chaînage) ? Dans quel ordre ? Format ?
Je trouve nulle part ces informations ! Si quelqu'un à la réponse, merci.

Je me demande pourquoi on ne peut pas avoir toutes ces informations plus facilement, mais je pense avoir une idée !;)

Dc a écrit :

Je me suis aussi posé cette question, et je l'ai posée au support
gratuit, voici la réponse que j'ai reçue :

"Les tables inaltérables facilitent l'implémentation de la norme NF525
mais pour le respect de la norme ce ne sera pas suffisant en soi.
Manqueront notamment la signature asymétrique comportant une liste de
rubriques, dans un ordre défini par la norme et dans un format précis,
par exemple en unités fractionnaires de la monnaie sans séparateur
décimal .
Je vous souhaite de vons développements...etc... "

je te laisse aprécier la réponse, j'ai pas tout tout compris... mais
bon ..

a plus

--
-------------------------------------------------------------
www.ctc-soft.com
Gestion biblo-documentaire (free-share)
Comptabilité shareware
Logiciels de Gestion de saisie terrain
Spécialisé Tournées de boulangers
-------------------------------------------------------------
Message modifié, 29 décembre 2017 - 14:53
Posté le 06 janvier 2018 - 19:08
Sylvain a écrit :
Quels sont les rubriques obligatoires à mettre dans le fichier d'audit (Inaltérable = signature ECDSA de chaque enregistrement avec chaînage) ? Dans quel ordre ? Format ?
Je trouve nulle part ces informations ! Si quelqu'un à la réponse, merci.

Je me demande pourquoi on ne peut pas avoir toutes ces informations plus facilement, mais je pense avoir une idée !;)


---------------------------

bonjour,

J'ai le même souci... tu as obtenu une réponse?
Posté le 08 janvier 2018 - 09:29
Philippe a écrit :
Sylvain a écrit :
Quels sont les rubriques obligatoires à mettre dans le fichier d'audit (Inaltérable = signature ECDSA de chaque enregistrement avec chaînage) ? Dans quel ordre ? Format ?
Je trouve nulle part ces informations ! Si quelqu'un à la réponse, merci.

Je me demande pourquoi on ne peut pas avoir toutes ces informations plus facilement, mais je pense avoir une idée !;)

---------------------------

bonjour,

J'ai le même souci... tu as obtenu une réponse?



Moi je vois deux réponses
-> soit on veut suivre la norme NF525, et dans ce cas il n'y a pas le choix il faut l'acheter
-> soit on "se contente" de suivre la LOF2016, et on utilise les informations publiques gratuites. Le meilleur guide que j'ai trouvé est le référentiel du LNE qui apporte des précisions utiles aux différents BOI.
Membre enregistré
91 messages
Popularité : +5 (5 votes)
Posté le 08 janvier 2018 - 09:48
Bonjour,

Si vous suivez la norme NF525, il faut aller sur leur site et acheter le PDF de 150 pages (500 Euros) qui explique la marche à suivre. Clairement, même avec ce PDF, c'est vraiment complexe ....

A+

--
Vincent Roy

Ennovsys - Développement d'app sur mesure
http://www.ennovsys.fr
Membre enregistré
43 messages
Posté le 09 janvier 2018 - 01:10
Le référentiel du LNE ne précise pas les rubriques à mettre dans le fichier "inaltérable" ?

Au niveau technique mon logiciel est prêt (Certificat avec clé public / privé, une table mise à disposition des contrôleurs pour vérifier que les données n'ont pas été modifié, un export possible des données, et j'utilise les fichiers inaltérable de windev qui contiennent en plus la signature ECDSA pour l'archivage).

Il me reste juste à être sûr des données à enregistrer et la documentation (technique et utilisation) à rédiger. j'estime avec cela pouvoir certifier mon logiciel moi même.
Posté le 09 janvier 2018 - 17:47
Bjr,

Sylvain avait écrit le 09/01/2018 :
Le référentiel du LNE ne précise pas les rubriques à mettre dans le fichier
"inaltérable" ?


C'est vrai que PcSoft m'avait parlé de "ces rubriques" ...
mais de toute facon, si on enclenche "fichier inaltérable" , ce sont
forcement toutes les rubriques du fichiers qui sont concernées. Donc ?

Il me reste juste à être sûr des données à enregistrer et la documentation
(technique et utilisation) à rédiger. j'estime avec cela pouvoir certifier
mon logiciel moi même.


Tu ne "certifies" pas toi meme, tu "attestes" avoir tout fait pour que
ce soit dans les clous....

Pour revenir sur les fichiers inaltérables, trés bonne idée certes,
mais comment ca va se passer quand il faudra purger ?
Parce que des caisses de magasins qui tournent 8 heures par jour, je
serais curieux de connaitre la taille des fichiers dans 6 ans ...
(lmite légale) d'une part, et dans 20 ans ? (puisque je
vois pas comment purger...)

hum ??

a plus


--
-------------------------------------------------------------
www.ctc-soft.com
Gestion biblo-documentaire (free-share)
Comptabilité shareware
Logiciels de Gestion de saisie terrain
Spécialisé Tournées de boulangers
-------------------------------------------------------------
Membre enregistré
43 messages
Posté le 09 janvier 2018 - 23:54
J'ai créé de nouveaux fichiers (Audit) qui enregistrent les données de manière chaînée avec mon certificat et sa clé privé. Et justement j'aimerais savoir quelles données sont à enregistrer dans ce nouveau fichier, qui est en plus de mon fichier sur lequel est enregistré les données de facturation.

J'utilise les fichiers "inaltérables" iniquement pour l'archivage à chaque "clôture". Donc je recopie par exemple les données et le chaînage (signature) réalisé sur le nouveau fichier (audit) dans ce fichier inaltérable qui correspondant à l'année clôturé par exemple. Après je verrai pour proposer une purge du fichier d'audit.

D'autre part le référentiel LNE, page 12 le point 2.2 il est écrit :
"... Toute réimpression de facture faite à partir du logiciel doit être enregistrée dans les données relatives aux opération d'encaissement."
Donc si je comprend bien il faudrait que dans mon fichier d'audit que j'enregistre une ligne indiquant la date et l'heure des impressions de facture ? Je ne vois pas trop la relation concernant l'impression d'une facture et le fait de rendre les données inaltérables ?

Aussi, finalement, l'"attestation" ou la certification concerne uniquement les logiciels de caisse ou aussi un simple logiciel de gestion commercial (sans caisse) ?
Posté le 10 janvier 2018 - 10:07
Bonjour,

En bon informaticien j'ai pensé à tout sauf à ce qu'allait faire mon client :)

j'ai donc un logiciel sécurisé, qui trace tout, au lancement il demande le fond de caisse actuel et à la fermeture de caisse il demande le nouveau fond de caisse et tout est carré comme il faut....sauf que le client utilise le même tiroir-caisse pour deux PC !

pour moi ce n'est pas normal, et ce n'est pas une bonne pratique, mais à la rigueur ce n'est pas mon soucis, par contre je me demande comment gérer cela au mieux pour que les totaux soient cohérents...

aujourd'hui j'ai la caisse A qui possède un fond de caisse de 300€ à l'ouverture, qui enregistre disons 50€ de vente, et déclare à la fermeture un fond de caisse de 310€ avec 75€ en banque ce qui génère 35€ (310 + 75 - 300 - 50) d'écart de caisse...et la caisse B déclare 0 partout mais a tout de même encaissé les 35€ et se trouve avec un écart de -35€. Au final sur l'ensemble des caisses le total est bon, mais c'est pas très joli joli :/

Une idée ?


Merci
Posté le 10 janvier 2018 - 10:11
Bjr,

Sylvain a exposé le 09/01/2018 :

Aussi, finalement, l'"attestation" ou la certification concerne uniquement
les logiciels de caisse ou aussi un simple logiciel de gestion commercial
(sans caisse) ?


Que caisse... depuis cet été...

a plus

--
-------------------------------------------------------------
www.ctc-soft.com
Gestion biblo-documentaire (free-share)
Comptabilité shareware
Logiciels de Gestion de saisie terrain
Spécialisé Tournées de boulangers
-------------------------------------------------------------
Membre enregistré
198 messages
Popularité : +2 (2 votes)
Posté le 10 janvier 2018 - 16:35
Dc a écrit :
Bjr,

Sylvain a exposé le 09/01/2018 :

Aussi, finalement, l'"attestation" ou la certification concerne uniquement
les logiciels de caisse ou aussi un simple logiciel de gestion commercial
(sans caisse) ?


Que caisse... depuis cet été...

a plus

--


Attention!!!!
un logiciel de gestion sur lequel vous enregistrez les règlements des clients : c'est un logiciel de caisse vis à vis du fisc, il doit donc avoir une attestation
Posté le 11 janvier 2018 - 21:17
Je l'ai codé pour avoir la certification lne et obtenue

L'audit contient l id ligne, le Numero de caisse, le type de ticket, le numéro ticket, la date, le contenu texte du ticket, la signature
Membre enregistré
43 messages
Posté le 12 janvier 2018 - 20:44
Nidle a écrit :
Je l'ai codé pour avoir la certification lne et obtenue

L'audit contient l id ligne, le Numero de caisse, le type de ticket, le numéro ticket, la date, le contenu texte du ticket, la signature


ID de la ligne correspond au numéro de la ligne du fichier d'audit (Par exemple ID automatique) ?

Type de ticket c'est quoi ? (Facture avoir ?)

Et le contenu texte du ticket ? (Montant HT, TVA, TAUX on met le tout en vrac dans un fichier texte ;) )

Il me semble qu'il faut date et heure de l'enregistrement dans le fichier d'audit ?

Et l'exemple que donne LNE veut dire quoi ?
D'autre part le référentiel LNE, page 12 le point 2.2 il est écrit :
"... Toute réimpression de facture faite à partir du logiciel doit être enregistrée dans les données relatives aux opération d'encaissement."

GAD a écrit :
Dc a écrit :
Bjr,

Sylvain a exposé le 09/01/2018 :

Aussi, finalement, l'"attestation" ou la certification concerne uniquement
les logiciels de caisse ou aussi un simple logiciel de gestion commercial
(sans caisse) ?


Que caisse... depuis cet été...

a plus

--


Attention!!!!
un logiciel de gestion sur lequel vous enregistrez les règlements des clients : c'est un logiciel de caisse vis à vis du fisc, il doit donc avoir une attestation


Donc presque tous les logiciels de gestion commerciale avec facturation.... Mais dans ce cas c'est uniquement la partie règlement et pas facturation ?
Posté le 12 janvier 2018 - 23:03
L iddocument c'est l id du document dans la table données d'origine
La date en effet contient l heure
Posté le 14 janvier 2018 - 00:51
Bjr,

Sylvain avait écrit le 12/01/2018 :
Attention!!!!
un logiciel de gestion sur lequel vous enregistrez les règlements des
clients : c'est un logiciel de caisse vis à vis du fisc, il doit donc avoir
une attestation

Donc presque tous les logiciels de gestion commerciale avec facturation....
Mais dans ce cas c'est uniquement la partie règlement et pas facturation ?


Non !!
uniquement si ce sont des clients non assugettis à la tva facturés par
un assugetti à la tva.

Tout le B to B est exclu pour le moment, faturation comme règlement,
de la nouvelle loi.

a plus


--
-------------------------------------------------------------
www.ctc-soft.com
Gestion biblo-documentaire (free-share)
Comptabilité shareware
Logiciels de Gestion de saisie terrain
Spécialisé Tournées de boulangers
-------------------------------------------------------------
Posté le 15 janvier 2018 - 09:11
Sylvain a écrit :
Nidle a écrit :
Je l'ai codé pour avoir la certification lne et obtenue

L'audit contient l id ligne, le Numero de caisse, le type de ticket, le numéro ticket, la date, le contenu texte du ticket, la signature

ID de la ligne correspond au numéro de la ligne du fichier d'audit (Par exemple ID automatique) ?

Type de ticket c'est quoi ? (Facture avoir ?)

Et le contenu texte du ticket ? (Montant HT, TVA, TAUX on met le tout en vrac dans un fichier texte ;) )

Il me semble qu'il faut date et heure de l'enregistrement dans le fichier d'audit ?

Et l'exemple que donne LNE veut dire quoi ?
D'autre part le référentiel LNE, page 12 le point 2.2 il est écrit :
"... Toute réimpression de facture faite à partir du logiciel doit être enregistrée dans les données relatives aux opération d'encaissement."


Pour l'ID, c'est l'Id Document (ou ticket si tu es sur une caisse) dans les données d'origine.
Le type ticket ticket c'est par exemple un ticket normal, une réimpression ticket, une fin de journée, etc...
Pour le texte, en vrac, non, mais la loi n'impose aucun format, donc le mieux est de tout mettre et le plus clairement possible
Quand je parle de date, évidemment je parle de date et heure.
Le LNE ne rentre pas dans la détail des formats, un peu comme la loi. Le mieux est d'en mettre un maximum. Plus tu mets des infos et des actions (création, réimpression, etc...) mieux c'est. En gros, il faut que ton logiciel soit transparent.
Posté le 15 janvier 2018 - 14:18
Bonjour, j'étudie la FAQ éditée par la Dgfip...

Première question: Qu'est-ce qu'un logiciel ou système de caisse ?
Réponse: Un logiciel ou un système de caisse est un système informatisé dans lequel un assujetti enregistre les livraisons de biens et les prestations de services ne donnant pas lieu à facturation au sens du BOI-TVADECLA-30-20-10...

Donc un logiciel de facturation édite des pièces traçables et n'a peut-être pas besoin de la certification... qui serait réservée aux caisses enregistreuses ?

J'adresse un courrier à mon interlocuteur dgfip !
Membre enregistré
17 messages
Posté le 16 janvier 2018 - 12:00
Une question qui va vous paraître stupide :
A quel endroit de la loi, voit-on qu'il faut un fichier d'audit ?

Hormis bien sûr dans les certifications LNE et NF525
Merci de votre réponse
Posté le 16 janvier 2018 - 15:58
Je pense que de respecter la NF525 ou le LNE, vous êtes assez tranquille en cas de contrôle du fisc.

Faire moins pourrait entrainer un doute pour le fisc
Posté le 16 janvier 2018 - 18:51
Bonjour,

Je me demandais comment faire pour un logiciel de caisse enregistreuse qui gèrent les tarifs horaires ?
Je prends l'exemple d'un billard, d'un cybercafé ou un espace de coworking, quand le client arrive il démarre un compteur et quand il part, le compteur est arrêté et il paie.
D'après la loi et la condition d'inaltérabilité des données, il faudrait garder une trace à toutes les secondes vu que le prix du produit évolue dans le temps?
Dans ces conditions, je suis parti du principe que la condition d'inaltérabilité n'intervenait qu'au moment de la cloture de la vente. (Après avoir arrêté le compteur définitivement et saisi la totalité des paiements)

Est-ce que vous pensez que cette manière de faire est quand même en adéquation avec la loi ?

Merci et Bon Dev
Posté le 16 janvier 2018 - 19:46
Bonjour,
je dois fournir une attestation de certification à mon client.
Quelqu'un a-t-il un exemple ou une trame de document.
Posté le 17 janvier 2018 - 08:41
Pintouch a écrit :
Bonjour,

Je me demandais comment faire pour un logiciel de caisse enregistreuse qui gèrent les tarifs horaires ?
Je prends l'exemple d'un billard, d'un cybercafé ou un espace de coworking, quand le client arrive il démarre un compteur et quand il part, le compteur est arrêté et il paie.
D'après la loi et la condition d'inaltérabilité des données, il faudrait garder une trace à toutes les secondes vu que le prix du produit évolue dans le temps?
Dans ces conditions, je suis parti du principe que la condition d'inaltérabilité n'intervenait qu'au moment de la cloture de la vente. (Après avoir arrêté le compteur définitivement et saisi la totalité des paiements)

Est-ce que vous pensez que cette manière de faire est quand même en adéquation avec la loi ?

Merci et Bon Dev


Ce qui importe, c'est le tarif du produit au moment de la vente, c'est à dire le moment où il est ajouté dans le ticket ou la facture. Il faut figé (inaltérabilité, sécurisation) dans des fichiers d'Archive ce que vous "donnez" au client, c'est à dire le contenu du ticket ou de la facture. L'évolution du tarif du produit dans la journée n'est pas important.
Posté le 17 janvier 2018 - 08:41
Bonjour,

Il se trouve que REALISATION a formulé :
Bonjour,
je dois fournir une attestation de certification à mon client.
Quelqu'un a-t-il un exemple ou une trame de document.


1 - tu ne DOIS pas , tu le fais si tu veux ....
2 - c'est une attestation de "conformité", pas de certification
3 - Attention, point tres important :
Apres avoir fait une telle attestation, c 'est toi qui paie l'addition
s'il y a une fraude révélée chez ton client. Avec la charge de la
preuve de ton coté !!! ca, ce n'est pas RIEN.
4 - tu trouves tres facilement le modèle de l'attestation d'un coup de
google

a plus

--
-------------------------------------------------------------
www.ctc-soft.com
Gestion biblo-documentaire (free-share)
Comptabilité shareware
Logiciels de Gestion de saisie terrain
Spécialisé Tournées de boulangers
-------------------------------------------------------------
Membre enregistré
19 messages
Posté le 21 janvier 2018 - 10:02
Bonjour,
une question très importante sur laquelle la NF525 devrait avoir une réponse interessante :
Quand on fait une mise à jour d'un logiciel de la version 1 à la version 20 (sécurisé blabla...) , les factures, tickets ou note qui sont dedans et présent depuis 1990 (pour conserver l'historique lol) , doit on sécurisé (donc calculé les signatures) de ses enregistrements et par la même clôturer et archiver ses données (clôture journalière ,mensuel et annuel avec signature et archives annuelles ) ?
cette opération pourrait durer des jours sur des petites machines obsolètes .....
Si quelqu'un à leurs réponses ou celle du fisc , cela serait sympa de partager ses infos .
A+ (avec des questions peut-etre encore pire)
Posté le 21 janvier 2018 - 12:47
Il faut appliquer la loi à sur opérations qui sont fait à partir du 1er janvier 2018. La loi existe depuis 2016 en effet, mais elle s applique à partir du 1er janvier 2018. De plus l'année 2018 va être une année d'accompagnement par le fisc donc il faudra être carré le 1er janvier 2019
Posté le 21 janvier 2018 - 17:34
DREZET / E.I.R.L ADE a écrit :
Bonjour,
une question très importante sur laquelle la NF525 devrait avoir une réponse interessante :
Quand on fait une mise à jour d'un logiciel de la version 1 à la version 20 (sécurisé blabla...) , les factures, tickets ou note qui sont dedans et présent depuis 1990 (pour conserver l'historique lol) , doit on sécurisé (donc calculé les signatures) de ses enregistrements et par la même clôturer et archiver ses données (clôture journalière ,mensuel et annuel avec signature et archives annuelles ) ?
cette opération pourrait durer des jours sur des petites machines obsolètes .....
Si quelqu'un à leurs réponses ou celle du fisc , cela serait sympa de partager ses infos .
A+ (avec des questions peut-etre encore pire)



Pour moi la réponse est non, sinon ça veut dire clairement que ton logiciel contient un mécanisme de recalcul automatique de signature des anciennes données, ce qui est interdit.
D'autre part, tu n'es tenu de conserver que 6 années.
Pour ma part, le mécanisme de signature ne commence qu'avec les nouvelles données.
Membre enregistré
17 messages
Posté le 25 janvier 2018 - 10:17
}:(
Une question qui va vous paraître stupide :
A quel endroit de la loi, voit-on qu'il faut un fichier d'audit ?

Hormis bien sûr dans les certifications LNE et NF525
Merci de votre réponse
Posté le 25 janvier 2018 - 12:05
ANDRE THEVENIN a écrit :
DREZET / E.I.R.L ADE a écrit :
Bonjour,
une question très importante sur laquelle la NF525 devrait avoir une réponse interessante :
Quand on fait une mise à jour d'un logiciel de la version 1 à la version 20 (sécurisé blabla...) , les factures, tickets ou note qui sont dedans et présent depuis 1990 (pour conserver l'historique lol) , doit on sécurisé (donc calculé les signatures) de ses enregistrements et par la même clôturer et archiver ses données (clôture journalière ,mensuel et annuel avec signature et archives annuelles ) ?
cette opération pourrait durer des jours sur des petites machines obsolètes .....
Si quelqu'un à leurs réponses ou celle du fisc , cela serait sympa de partager ses infos .
A+ (avec des questions peut-etre encore pire)


Pour moi la réponse est non, sinon ça veut dire clairement que ton logiciel contient un mécanisme de recalcul automatique de signature des anciennes données, ce qui est interdit.


oui et non , il suffit de le faire d'en une base de donnée différente pour différencier les anciennes et les nouvelles (par ailleurs il ne les re-calculs pas mais les calculs) .
le problème se pose aussi sur les clôtures journalières,mensuel et annuel ,doit-on pouvoir les faires même manuellement puisque les factures sont présentes dans le logiciel ...?
Au sujet des clôtures (journalières , mensuel et annuelle) , faut-il les faire en automatique (dans la loi c'est 'prévoir' ce qui ne veut pas dire grand chose) ou 'prévoir cette option que les utilisateurs ne feront jamais puisque bien trop chronophage ....
C'est des questions bien compliqué qu'il faudrait poser à la NF525 ou au impôts (ministère ou autre)
en attendant je vous laisse méditer et répondre ....
Posté le 25 janvier 2018 - 12:06
ANDRE THEVENIN a écrit :
DREZET / E.I.R.L ADE a écrit :
Bonjour,
une question très importante sur laquelle la NF525 devrait avoir une réponse interessante :
Quand on fait une mise à jour d'un logiciel de la version 1 à la version 20 (sécurisé blabla...) , les factures, tickets ou note qui sont dedans et présent depuis 1990 (pour conserver l'historique lol) , doit on sécurisé (donc calculé les signatures) de ses enregistrements et par la même clôturer et archiver ses données (clôture journalière ,mensuel et annuel avec signature et archives annuelles ) ?
cette opération pourrait durer des jours sur des petites machines obsolètes .....
Si quelqu'un à leurs réponses ou celle du fisc , cela serait sympa de partager ses infos .
A+ (avec des questions peut-etre encore pire)


Pour moi la réponse est non, sinon ça veut dire clairement que ton logiciel contient un mécanisme de recalcul automatique de signature des anciennes données, ce qui est interdit.


oui et non , il suffit de le faire d'en une base de donnée différente pour différencier les anciennes et les nouvelles (par ailleurs il ne les re-calculs pas mais les calculs) .
le problème se pose aussi sur les clôtures journalières,mensuel et annuel ,doit-on pouvoir les faires même manuellement puisque les factures sont présentes dans le logiciel ...?
Au sujet des clôtures (journalières , mensuel et annuelle) , faut-il les faire en automatique (dans la loi c'est 'prévoir' ce qui ne veut pas dire grand chose) ou 'prévoir cette option que les utilisateurs ne feront jamais puisque bien trop chronophage ....
C'est des questions bien compliqué qu'il faudrait poser à la NF525 ou au impôts (ministère ou autre)
en attendant je vous laisse méditer et répondre ....
Posté le 25 janvier 2018 - 12:07
ANDRE THEVENIN a écrit :
DREZET / E.I.R.L ADE a écrit :
Bonjour,
une question très importante sur laquelle la NF525 devrait avoir une réponse interessante :
Quand on fait une mise à jour d'un logiciel de la version 1 à la version 20 (sécurisé blabla...) , les factures, tickets ou note qui sont dedans et présent depuis 1990 (pour conserver l'historique lol) , doit on sécurisé (donc calculé les signatures) de ses enregistrements et par la même clôturer et archiver ses données (clôture journalière ,mensuel et annuel avec signature et archives annuelles ) ?
cette opération pourrait durer des jours sur des petites machines obsolètes .....
Si quelqu'un à leurs réponses ou celle du fisc , cela serait sympa de partager ses infos .
A+ (avec des questions peut-etre encore pire)


Pour moi la réponse est non, sinon ça veut dire clairement que ton logiciel contient un mécanisme de recalcul automatique de signature des anciennes données, ce qui est interdit.
D'autre part, tu n'es tenu de conserver que 6 années.
Pour ma part, le mécanisme de signature ne commence qu'avec les nouvelles données.



oui et non , il suffit de le faire d'en une base de donnée différente pour différencier les anciennes et les nouvelles (par ailleurs il ne les re-calculs pas mais les calculs) .
le problème se pose aussi sur les clôtures journalières,mensuel et annuel ,doit-on pouvoir les faires même manuellement puisque les factures sont présentes dans le logiciel ...?
Au sujet des clôtures (journalières , mensuel et annuelle) , faut-il les faire en automatique (dans la loi c'est 'prévoir' ce qui ne veut pas dire grand chose) ou 'prévoir cette option que les utilisateurs ne feront jamais puisque bien trop chronophage ....
C'est des questions bien compliqué qu'il faudrait poser à la NF525 ou au impôts (ministère ou autre)
en attendant je vous laisse méditer et répondre ....
Posté le 25 janvier 2018 - 12:13
Nidle a écrit :
> Il faut appliquer la loi à sur opérations qui sont fait à partir du 1er janvier 2018. La loi existe depuis 2016 en effet, mais elle s applique à partir du 1er janvier 2018. De plus l'année 2018 va être une année d'accompagnement par le fisc donc il faudra être carré le 1er janvier 2019


le problème c'est que rien dans la loi ne parle des mises à jour de logiciel et d'ancienne données, c'est flou , on interprète ...
d'ailleurs , la logique voudrait que l'on applique la loi sur les nouveau enregistrement une fois la nouvelle version installé (celle sécurisé) ou sur touts les enregistrements présent mais certainement pas par rapport à une date d'obligation (celle du 1er janvier 2018)
Posté le 25 janvier 2018 - 13:34
Jeff51 a écrit :
}:(
Une question qui va vous paraître stupide :
A quel endroit de la loi, voit-on qu'il faut un fichier d'audit ?

Hormis bien sûr dans les certifications LNE et NF525
Merci de votre réponse



nul part !! mais çà aide à mettre des informations confidentiel (dernier numéro de facture ,date de sécurisation etc ..)
Ou tout simplement (ce qui est obligatoire) les lignes de produits supprimées
Posté le 25 janvier 2018 - 13:42
DREZET / E.I.R.L ADE a écrit :
> Au sujet des clôtures (journalières , mensuel et annuelle) , faut-il les faire en automatique (dans la loi c'est 'prévoir' ce qui ne veut pas dire grand chose) ou 'prévoir cette option que les utilisateurs ne feront jamais puisque bien trop chronophage

La chronophagie est quand même toute relative.
Sur mon application, une clôture journalière dure quelques secondes, et une clôture d'exercice ne dépasse pas la minute.
Je ne l'ai pas mise en automatique parce que ce n'est pas une obligation, mais je préviens l'utilisateur s'il n'a pas fait sa clôture depuis longtemps.
Posté le 25 janvier 2018 - 15:32
ANDRE THEVENIN a écrit :
DREZET / E.I.R.L ADE a écrit :
Au sujet des clôtures (journalières , mensuel et annuelle) , faut-il les faire en automatique (dans la loi c'est 'prévoir' ce qui ne veut pas dire grand chose) ou 'prévoir cette option que les utilisateurs ne feront jamais puisque bien trop chronophage

La chronophagie est quand même toute relative.
Sur mon application, une clôture journalière dure quelques secondes, et une clôture d'exercice ne dépasse pas la minute.
Je ne l'ai pas mise en automatique parce que ce n'est pas une obligation, mais je préviens l'utilisateur s'il n'a pas fait sa clôture depuis longtemps.



oui c'est une possibilité , tu met à disposition ,la clôture devient une 'option', j'ai vu des NF525 qui le faisait automatiquement tout les jours , pour moi c'est automatique en -15>-7 jours , le souci c'est que je suis obligé de clôturer les factures 'en cours' , cette loi est insuffisamment précise pour mettre les utilisateurs et développeurs dans la misère le jour d'un contrôle trop zélé ...
il va falloir attendre des jurisprudences des tribunaux administratif pour faire notre boulot correctement ....
Posté le 19 mars 2018 - 10:56
Bonjour,

j'ai une question concernant la gestion des versions de l'application.

Imaginons que ma première version est numérotée 1.0.0.0.
Si je fais la moindre modification, le numéro de version doit obligatoirement évoluer selon la NF525 et LNE.
C'est à dire 1.0.0.1 ou 1.0.1.0 etc...

Lors d'une mise à jour, je remplace l'ancien exécutable par le nouveau.

Mais, qu'est-ce qui m’empêcherait de générer mon nouvel exécutable en laissant le numéro de version 1.0.0.0 au lieu de 1.0.0.1 ? Comme démontrer qu'on est honnête la dessus ? Je suppose que la certification le demande.

Merci d'avance.
Posté le 19 mars 2018 - 11:50
Mike a écrit :
Bonjour,

j'ai une question concernant la gestion des versions de l'application.

Imaginons que ma première version est numérotée 1.0.0.0.
Si je fais la moindre modification, le numéro de version doit obligatoirement évoluer selon la NF525 et LNE.
C'est à dire 1.0.0.1 ou 1.0.1.0 etc...

Lors d'une mise à jour, je remplace l'ancien exécutable par le nouveau.

Mais, qu'est-ce qui m’empêcherait de générer mon nouvel exécutable en laissant le numéro de version 1.0.0.0 au lieu de 1.0.0.1 ? Comme démontrer qu'on est honnête la dessus ? Je suppose que la certification le demande.

Merci d'avance.



Tout dépend de ton par clientèle. Si tu as un seul client, rien ne t'empêche effectivement de rester en 1.0.0.0. Mais si tu as plusieurs clients, et que tu dois tous les mettre à jour en même temps sitôt que tu fais une petite modif, c'est peut-être plus efficace de gérer correctement tes versions. En évitant de changer de version "majeure" pour éviter de refaire des attestations de conformité (ou de repasser à la norme si c'est ce que tu fais)
Posté le 12 décembre 2022 - 12:37
Penses tu vraiment que c'est infocert qui va payer en cas de fraude chez un de vos clients...
Bienvenue chez les Bisounours.
Posté le 21 décembre 2022 - 17:31
Même si on n'augmente pas les versions... il faut repasser une "mini certification" chaque année....
Et dans l'avenir, ne vous faîtes pas de doutes, les auto certifications ne seront plus possibles.... (bruit de couloir)


PC Soft aurait pu sortir une nouveauté explosive : Un module d'encaissement simplifié certifié NF525/LNE auquel nous aurions adapté nos logiciels.

La ça aurait été un sacré argument pour Windev, !

Si vous pensez que cela serait utile alors envoyez une suggestion dès maintenant au support technique !
Membre enregistré
47 messages
Posté le 22 décembre 2022 - 14:35
Savez s'il existe des composants certifié NF525/LNE à intégrer à nos applications ?

--
Développeur sur https://www.emjysoft.com/