Französische POS-System werden im Gegensatz zu anderen Ländern (wie zum Beispiel Deutschland oder Österreich) nicht mit Hardware gesichert. In Frankreich werden Kassen von unabhängigen Stellen (LNE oder Infocert) auf die Konformität zu den Finanzgesetzen geprüft. Oder der Kassenhersteller kann jedem Kassennutzer eine individuelle Bestätigung ausstellen.
Unabhängig von der Variante ermöglicht der Gesetzgeber eine 100%-Cloud-Variante oder eine lokale Installation von POS-Systemen.
Grundlagen der Kassensicherheit in Frankreich
Der Gesetzgeber hat im Artikel 88 des Finanzgesetzes von 2016 die vier Prinzipien der Kassensicherheit festgelegt. Mehr zu den ISCA-Regeln finden sind einem vorherigen Post von fiskaltrust (LINK).
Wie genau die Regeln umgesetzt werden überlässt der Gesetzgeber jedoch dem Kassenhersteller. Es werden jedoch die technischen Sicherheitsmaßnahmen mit „State-of-the-Art“ festgelegt. Damit ist auch eine Bildung des Hash-Werte mit einem Algorithmus mindestens SHA-256 gemeint. Mit der fiskaltrust.Middleware sind sie hier auf der sicheren Seite, denn die ISCA-Regeln sind mit sogar noch höheren Sicherheitsmerkmalen umgesetzt.
Signieren und Verketten von Belegen
Dies sind die zwei zentralen Punkte der Kassensicherheit und besteht aus drei Schritten.
Signieren
Vor jedem Speichervorgang im Belegjournal wird der Beleg mit einem elektronischen Zertifikat signiert. Dabei wird ein PrivateKey (der in der Queue enthalten ist) verwendet und der entsprechende PublicKey kann verwendet werden, um die Echtheit des Beleges zu verifizieren. Die Echtheit bedeutet hier, dass der Beleg eindeutig einem POS-System und damit einem Kassenbetreiber zugeordnet werden kann.
Manipulationsschutz
Nach diesem „elektronischen Unterschreiben“ werden die Belege vor Veränderung gesichert. Dazu wird ein Hash-Wert über alle Daten des Beleges gebildet. Dieser Hash-Wert errechnet sich aus den enthaltenen Zeichen und der Position. Ändert sich hier auch nur ein einzelnes Zeichen wird ein ganz neuer Hash-Wert gebildet. Dadurch kann sofort jede Manipulation erkannt werden.
Schutz vor Löschen
Wenn nun der Hash-Wert des genau vorherigen Beleges zu den Daten hinzugefügt wird, erhalten wir eine Kette bei der auch das Löschen erkannt wird. Denn bei einer Prüfung wird nur mehr der im enthaltene Hash-Wert mit dem errechneten des vorherigen Beleges verglichen. Stimmen die beiden nicht überein, wurde die Reihenfolge der Belege manipuliert.
Bei der fiskaltrust.Middleware erfolgt hier sogar eine doppelte Verkettung: Jeder einzelne Beleg ist mit dem vorherigen verkettet. Und auch jeder Belegtyp (zum Beispiel ein Ticket) ist mit dem vorhergehenden Beleg desselben Typs verkettet.
Lokale POS-Systeme
Viele der Kassensysteme werden im Offline-Modus betriebe. Dabei ist die Kassensoftware und die fiskaltrust.Middleware lokal auf der Hardware installiert. Dabei erfolgt die Sicherung der Belege auch im Kassensystem selbst. Es werden die Belege von der lokalen Middleware elektronisch signiert und verkettet. Und damit alle Sicherheitsvorkehrungen perfekt eingehalten.
Das einzige Problem kann hier das fehlen der fiskaltrust.Middleware sein. Aufgrund technischer Probleme oder fehlerhafter Installation startet die Middleware auf dem POS-System nicht oder ist ausgefallen. In diesem Fall empfiehlt es sich, das POS-System komplett zu blockieren und das Gerät neu zu starten. Denn bei so einem Fehler dürfte am System ein grundlegendes Problem vorliegen. Denn die fiskaltrust.Middleware ist als Service bzw. Daemon im System verankert.
SaaS POS-Systeme
POS-Systeme welche als Software-as-a-Service oder auch Cloud-Lösung angeboten werden, sind schon wegen der Architektur anfälliger für technische Probleme. Hier werden die Belegdaten nicht von einer lokal installierten fiskaltrust.Middleware gesichert, sondern zuerst muss eine Übertragung der Daten zur Middleware in der fiskaltrust.Cloud erfolgen und danach die Antwort verarbeitet werden. Es ist auf jeden Fall eine Internet-Verbindung notwendig, welche nicht immer verfügbar ist.
Reiner Online-Modus
Die einfachste Lösung ist natürlich das Blockieren der Belegerstellung, sobald keine Internetverbindung vorhanden ist. Der Nachteil ist jedoch klar auf der Hand, es können keine Umsätze vom Kassenhersteller gemacht werden.
Ganz so schlimm ist es nicht. Der französische Gesetzgeber erlaubt sehr wohl eine händische Erstellung der Belegung, damit ist aber wirklich handschriftlich gemeint. Diese Belege können dann bei der fiskaltrust.Middleware im „Nacherfassungs-Modus“ fiskalisiert werden.
Offline-Modus
Oder es wird ein sogenannter „Offline-Modus“ zur Verfügung gestellt. Dabei werden die Belege ganz normal vom POS-System erstellt, jedoch mit einem „mode degradée“ (Sicherheitseinrichtung ausgefallen) markiert. Diese Belege werden lokal gespeichert und sobald wieder eine Internetverbindung vorhanden ist in die fiskaltrust.Cloud zur Fiskalisierung übertragen.
Das einfache lokale Speichern ist jedoch nicht gesetzeskonform. Denn ohne jede Sicherheit können diese Belege vor dem Übertragen nach Belieben manipuliert oder gelöscht werden. Daher müssen auch diese Belege mit einer Verkettung gesichert werden. Die einfachste Variante wäre hierbei die für die fiskaltrust.Middleware notwendige JSON-Struktur als einzelne Dateien im Dateisystem zu speichern. Dabei werden auch ein Hash-Wert mit SHA-256 erzeugt und dieser, wie oben beschrieben, zum Erzeugen einer einfachen Kette benutzt.
Sobald die Übertragung stattfindet wird vom POS-System die Fehlerfreiheit der Belege und der Kette anhand der Hash-Werte geprüft und die Daten dann an die fiskaltrust.Middleware übertragen.
Resümee
Mit der Integration der fiskaltrust.Middleware sind sie auf der sicheren Seite. Ist Ihr POS-System als SaaS-Lösung aufgebaut und sie wollen keinen weiteren Aufwand betreiben, können Sie einen Offline-Modus einfach verhindern.
Mit ein wenig Aufwand zum Verketten der Daten können Sie Ihren Kassenbetreibern auch den Offline-Modus gesetzeskonform anbieten. Falls Sie unsicher sind, wie sie das genau umsetzen können, fragen Sie ein Mitglied unseres Teams aus Spezialisten.