Les systèmes PDV français ne sont pas sécurisés par du matériel informatique, contrairement à d’autres pays (comme l’Allemagne ou l’Autriche). En France, les caisses sont contrôlées par des organismes indépendants (LNE ou Infocert) pour vérifier leur conformité avec les lois financières. Ou bien le fabricant de la caisse peut délivrer une attestation individuelle à chaque utilisateur de la caisse.
Quelle que soit la solution, le législateur permet une variante 100% cloud ou une installation locale des systèmes POS.
Les bases de la sécurité des caisses en France
Le législateur a défini les quatre principes de la sécurité des caisses dans l’article 88 de la loi de finances de 2016. Vous trouverez plus d’informations sur les règles ISCA dans un précédent article de fiskaltrust.
Le législateur laisse toutefois le soin au fabricant de caisses de décider de la manière exacte dont les règles sont mises en œuvre. Les mesures de sécurité techniques sont toutefois définies avec « State-of-the-Art ». Cela signifie également une formation de la valeur de hachage avec un algorithme d’au moins SHA-256. Avec le fiskaltrust.Middleware, vous êtes du côté de la sécurité, car les règles ISCA sont mises en œuvre avec des caractéristiques de sécurité encore plus élevées.
Signature et chaînage des reçus
Il s’agit des deux points centraux de la sécurité des caisses qui se composent de trois étapes.
Signer
Avant chaque processus d’enregistrement dans le journal des justificatifs, le justificatif est signé avec un certificat électronique. Une PrivateKey (qui est contenue dans la queue) est utilisée et la PublicKey correspondante peut être utilisée pour vérifier l’authenticité du justificatif. L’authenticité signifie ici que le justificatif peut être attribué sans équivoque à un système POS et donc à un opérateur de caisse.
Protection contre les manipulations
Après cette « signature électronique », les justificatifs sont protégés contre toute modification. Pour ce faire, une valeur de hachage est créée pour toutes les données du justificatif. Cette valeur de hachage est calculée à partir des caractères contenus et de la position. Si un seul caractère est modifié, une toute nouvelle valeur de hachage est créée. Toute manipulation peut ainsi être immédiatement détectée.
Protection contre l’effacement
Si la valeur de hachage du document précédent est ajoutée aux données suivantes, nous obtenons une chaîne dans laquelle la suppression est également détectée. En effet, lors d’un contrôle, seule la valeur de hachage contenue dans le document est comparée à celle calculée pour le document précédent. Si les deux ne correspondent pas, l’ordre des documents a été manipulé.
Dans le cas du fiskaltrust.Middleware, il y a même une double chaîne : chaque document est chaîné avec le précédent. Et chaque type de document (par exemple un ticket) est également chaîné avec le document précédent du même type.
Systèmes PDV installés en local
De nombreux systèmes de point de vente fonctionnent en mode hors ligne. Le logiciel de caisse et le fiskaltrust.Middleware sont alors installés localement sur le matériel. La sauvegarde des justificatifs s’effectue également dans le système de caisse lui-même. Les justificatifs sont signés électroniquement et chaînées par le middleware en local. Toutes les mesures de sécurité sont ainsi parfaitement respectées.
Le seul problème peut être l’absence du fiskaltrust.Middleware. En raison de problèmes techniques ou d’une installation incorrecte, le middleware ne démarre pas sur le système PDV ou est en panne. Dans ce cas, il est recommandé de bloquer complètement le système PDV et de redémarrer l’appareil. En effet, dans le cas d’une telle erreur, le système devrait présenter un problème fondamental. Effectivement, le fiskaltrust.Middleware est ancré dans le système en tant que service ou daemon.
Systèmes PDV SaaS
Les systèmes PDV qui sont proposés en tant que Software-as-a-Service ou solution Cloud sont déjà plus vulnérables aux problèmes techniques en raison de leur architecture. Dans ce cas, les données des documents ne sont pas sauvegardées par un fiskaltrust.Middleware installé localement, mais il faut d’abord que les données soient transmises au middleware dans le fiskaltrust.Cloud et que la réponse soit ensuite traitée. Dans tous les cas, une connexion Internet est nécessaire et elle n’est pas toujours disponible.
Mode purement en ligne
La solution la plus simple consiste bien entendu à bloquer la création de documents dès qu’aucune connexion Internet n’est plus disponible. L’inconvénient est toutefois évident, aucun chiffre d’affaires ne peut être réalisé par le fabricant de la caisse.
Mais ce n’est pas si grave que cela semble l’être. Le législateur français autorise bien l’établissement manuel des justificatifs, mais il faut entendre par là qu’ils sont réellement manuscrits. Ces justificatifs peuvent ensuite être fiscalisés auprès du logiciel fiskaltrust.Middleware en « mode post-saisie ».
Mode hors ligne
Losqu’un mode dit « hors ligne » est mis à disposition, les documents sont créés tout à fait normalement par le système PDV, mais sont marqués de la mention « mode dégradé » (dispositif de sécurité en panne). Ces justificatifs sont stockés localement et, dès qu’une connexion Internet est à nouveau disponible, ils sont transférés dans le fiskaltrust.Cloud pour être fiscalisés.
Le simple stockage local n’est toutefois pas conforme à la loi. En effet, sans aucune sécurité, ces justificatifs peuvent être manipulés ou supprimés à volonté avant d’être transférés. C’est pourquoi ces documents doivent également être sécurisés par un chaînage. La variante la plus simple serait ici de sauvegarder la structure JSON nécessaire pour le fiskaltrust.Middleware sous forme de fichiers individuels dans le système de fichiers. Une valeur de hachage avec SHA-256 est alors également générée et utilisée, comme décrit ci-dessus, pour créer une chaîne simple.
Dès que le transfert a lieu, le système PDV vérifie l’absence d’erreurs dans les documents et la chaîne à l’aide des valeurs de hachage, puis transfère les données au fiskaltrust.Middleware.
Résumé
Avec l’intégration du fiskaltrust.Middleware vous êtes du côté de la sécurité. Si votre système PDV est conçu comme une solution SaaS et que vous ne voulez pas faire d’autres efforts, vous pouvez facilement empêcher un mode hors ligne.
Avec un peu d’effort pour chaîner les données, vous pouvez également proposer aux exploitants de vos caisses un mode hors ligne conforme à la loi. Si vous n’êtes pas sûr de savoir comment mettre cela en place, demandez plus d’information à un membre de notre équipe de spécialistes.