Franse legislatuur: beveiliging van de kassasoftware

Algemeen kader

De Franse wetgeving, artikel 88 van de Financiële wetgeving voor 2016 (gepubliceerd eind 2015), voorziet dat zelfstandigen en bedrijven die de betalingen van hun klanten registreren via een beheersoftware vanaf 1 januari 2018 gebruik moeten maken van een veilige en gecertificeerde software, met inachtneming van de voorwaarden en onveranderlijkheid, beveiliging, behoud en archivering.
Deze wet werd gewijzigd door artikel 105 van de financiële wetgeving voor 2018, die accounting en beheersoftware uitsluit voor deze nieuwe verplichtingen. Alleen software of kassasystemen van een belastingplichtige in Frankrijk, en die in Frankrijk gevestigd is, hebben dus betrekking op transacties die gericht zijn op particulieren. Dit wil zeggen voor diegene waarvoor er niet systematisch een factuur wordt opgesteld. De B2B relaties zijn daarom uitdrukkelijk uitgesloten voor de reikwijdte van deze wetgeving.

De essentie van deze wetgeving is gedetailleerd en becommentarieerd in dit document.

Mercator positioneert zich in de categorie van eigen ontwikkelde software, in tegenstelling tot vrije software of intern ontwikkelde software.

 

Met betrekking tot Mercator

Mercator biedt verschillende functionaliteiten om aan de voorwaarden van deze wetgeving te voldoen. Het is dus essentieel om te begrijpen dat de certificering die verstrekt wordt door INEO srl, de uitgever van Mercator, afhankelijk is van het feit dat deze functies correct geactiveerd, geconfigureerd en nooit uitgeschakeld zijn. Het door INEO uitgegeven certificaat herinnert u aan deze voorwaarden.

Er wordt ook aan herinnerd dat Mercator een zeer configureerbare software is, waarvoor integratie en ontwikkeling nodig zijn, die soms uitgevoerd worden door onafhankelijke Mercator-serviceproviders. INEO srl onderwerpt zich aan de beveiligingsverplichting, op voorwaarde dat de ontwikkelingen en instellingen van het IT-servicebedrijf die de integratie uitvoert de functionaliteiten die deze beveiliging waarborgen niet wijzigt. Indien de wijzigingen die door de integrator zijn uitgevoerd een negatief effect hebben op de technische beveiligingsaspecten die zijn opgezet door INEO srl, wordt eraan herinnerd dat de integrator de “editor” wordt. Bijgevolg moet deze aangepaste en geïnstalleerde Mercator een nieuwe beveiligingsprocedure ondergaan die leidt tot de uitgifte van een nieuw certificaat dat door de integrator zelf wordt uitgegeven.

Er wordt aan herinnerd dat de wet een resultaatsverplichting oplegt met betrekking tot de conformiteit van de software (respect voor de 4 condities van de wet: onveranderlijkheid, beveiliging, stockage en archivering) en niet van middelen: er wordt geen lastenboek gedefinieerd, noch een technische oplossing. De implementatiekeuzes zijn gemaakt door het ontwikkelteam van Mercator.

1. Voorwaarde van onveranderlijkheid

Om aan de voorwaarde voor onveranderlijkheid te voldoen, moet de integriteit van de geregistreerde gegevens in de loop van de tijd worden gegarandeerd door een technisch betrouwbaar proces. Andere processen dan verzegeling en ketenvorming kunnen door uitgevers worden voorgesteld.

Aan deze voorwaarde wordt voldaan door een keten- en hashingproces in te stellen in de tabel HISCAISS (historiek van incasseringen). We herinneren u eraan dat deze tabel alle contante transacties (verzamelingen, openingen, sluitingen) toont en dat deze gegevens nooit gewijzigd worden door Mercator. Annuleringen of wijzigingen worden altijd gemaakt door een negatieve bewerking. De onveranderlijkheid van de gegevens, zowel tegen het wissen als wijzigen, wordt verzekerd door berekening van een Hash-key, gebaseerd op het algoritme SHA256 en het bevat een koppeling met het vorige record.

2. Voorwaarde van beveiliging

De beveiligingsvereiste is niet bedoeld om de toegangsrechten tot de software of het kassasysteem te beperken, maar om ervoor te zorgen dat de registratie van contante ontvangsten van een persoon die toegang heeft tot het systeem wordt bijgehouden, evenals alle wijzigingen die in de records worden aangebracht.

Er is geen enkele Mercator-functie die de HISCAISS-gegevens kan wijzigen. Hierdoor is de traceerbaarheid van alle incasseringen gewaarborgd, Mercator maakt gebruik van een SQL Server Database. Het is de verantwoordelijkheid van de Mercator-gebruiker of zijn IT-serviceprovider om ervoor te zorgen dat er geen gegevens rechtstreeks in de database buiten Mercator gewijzigd kunnen worden. Dit aspect moet beheerd worden vanuit de SQL Server-beveiligingshulpmiddelen.

3. Voorwaarden voor bewaring en archivering

De SQL Server Database en het feit dat we gebruik maken van een HISCAISS-tabel, zorgen ervoor dat deze tabel een onbeperkt aantal records kan bevatten. Als gevolg hiervan biedt Mercator geen archiveringsfunctionaliteit. . Het is daarom van essentieel belang om een back-upstrategie op te zetten om de voortdurende bewaring van deze gegevens te waarborgen. Aangezien deze back-upvoorziening buiten de ondersteuning van Mercator valt, moet deze door de gebruiker of zijn IT-serviceprovider voorzien worden.

Om aan de dagelijkse, maandelijkse en jaarlijkse fiscale afsluitingsvereisten voor het jaareinde te kunnen voldoen, moeten de openings- en sluitingsfuncties van het kasregister worden gebruikt en moeten de kassasluitingen gecoördineerd worden met het afdrukken van het controle-document (zie hieronder). Om precies aan deze eis te voldoen het doel van archivering is om de gegevens te bevriezen en om een bepaalde datum te geven aan gearchiveerde documenten, Mercator maakt het onmogelijk om de kassa of kassalade op een eerdere datum te openen dan de laatste afsluiting. Aangezien de kassa niet op een eerdere dag kan worden geopend, zijn documenten op een eerdere datum niet wijzigbaar zijn, hierdoor zijn ze read-only.

 

Concreet binnen Mercator

Installatie

In Mercator 10.2 of hoger, kan de functionaliteit geactiveerd worden om aan deze wetgeving te voldoen. Je kan dit activeren via het menu “Geavanceerde Tools – Commercieel beheer – Beveiligingsontvangsten inschakelen”. Om deze te kunnen gebruiken is het belangrijk om vooraf de structuur van de database te controleren. (Ook via geavanceerde tools)

Deze activering brengt wijzigingen aan in de tabel HISCAISS, opdat deze onveranderlijk wordt. Zo voldoen we aan de vereiste voorwaarden. (Doe deze structuurwijzigingen niet handmatig!)

Als u deze functie wordt de waarde van de optie STRICTCASH op 99 geplaatst. (Deze optie bevat het niveau waaronder het contante toegangsbeheer actief is.) Dit betekent dat de contante toegangscontrole op de kassa automatisch is ingeschakeld voor alle gebruikers. Dit omvat een verplichting om de functies “Kassa opening” en “Kassa sluiting” voor contanten te gebruiken.

Gebruik

In het dagelijks beheer van een bedrijf is het noodzakelijk om de functies kassa- opening en sluiting te gebruiken. We herinneren u eraan dat elk van deze bewerkingen een record is in de tabel HISCAISS, die de rijen onveranderlijk maakt. Voor het overige is het gebruik van Mercator niet gewijzigd, behalve dat het wijzigen van ID’s en bestandsfusies binnen de informatiebestanden klant en leverancier niet meer toegestaan zijn.

In het menu “Beheer – Historiek van incassering” verschijnt automatisch een extra item: Controle. Hiermee kan er een controle-document worden vrijgegeven, dat moet worden geproduceerd op verzoek van de administratie. Het wordt aanbevolen om dit regelmatig te printen (Dagelijks, wekelijks, maandelijks) en te bewaren. Het wordt uitgevoerd voor een reeks datums, zoals hierboven reeds vermeld raden we u ten zeerste aan om dit document af te drukken bij het afsluiten van de kassa. Dit moet vastgelegd worden in de procedures van het bedrijf.
Tip: Bewaar dit document in PDF-formaat indien u over de optie PDF beschikt.

Dit document omvat:

• De activeringsdatum van de beschermingsfunctionaliteit voor incasseringen
• Het eindtotaal (controlesom voor de controleperiode) in totaal
  • Incasseringen
  • Btw-bedragen (uniek voor type 1 en 2 documenten)
  • Bedragen Excl btw (uniek voor type 1 en 2 documenten)
• De lijst met HISCAISS-records waarvoor de hash-sleutel niet correct is. Deze lijst registreert dus HISCAISS-records waarmee buiten Mercator is geknoeid. Deze lijst moet altijd leeg zijn..
• De lijst met records die overeenkomen met annuleringen van bewegingen. Dit is niet verboden, omdat het binnen de software wordt gedaan, maar het moet worden gerechtvaardigd.

Een menu-item Exporteren verschijnt ook. Het maakt het mogelijk om de elementaire gegevens van collecties (records van HISCAISS) te exporteren naar een formaat naar keuze (Excel, Xml, Sdf, Ascii,… de laatste twee worden specifiek aangegeven als geaccepteerd door de administratie. Deze export bevat alle details van de afrekening die vereist zijn: ticketnummer, datum en tijd, het aantal, totale btw, bedrag excl btw, btw-totalen per tarief, de details van de artikelen of services (formulering, hoeveelheid, eenheidsprijs, netto totaal van de lijn,…)