De nos jours, il ne devrait plus être nécessaire de parler de la sécurité des mots de passe. Il est évident d’avoir un mot de passe sûr (suffisamment long, avec des majuscules, des minuscules, des caractères spéciaux et des chiffres). De même, changer régulièrement de mot de passe est déjà entré dans les mœurs. Mais qu’en est-il maintenant d’une caisse, à quel point doit-elle être sûre ?
La sécurité par la certification ou l’auto-attestation ?
C’est comme pour un mot de passe : cela dépend du niveau ou degré de sécurité je veux utiliser.
En France, les systèmes de caisse sont sûrs dès qu’ils répondent aux règles de l’ISCA. Le respect de ces règles peut déjà être difficile en soi et exige beaucoup du fabricant de caisses, dans l’architecture du logiciel, dans les processus pendant le développement du logiciel, dans la gestion de la qualité et aussi dans le processus de mise à jour.
Dès que toutes ces exigences sont remplies, la caisse est conforme à la loi ou, comme on dit, elle est sûre ! La dernière petite étape peut être la confirmation par une auto-attestation. Il s’agit d’un modèle simple qui doit être rempli et remis à l’utilisateur de la caisse.
Ou alors, on choisit la voie plus compliquée de la certification. Dans ce cas, le respect des règles ISCA est contrôlé par un organisme de certification indépendant et un certificat de sécurité est délivré à la fin. L’exploitant de la caisse reçoit également ce certificat comme preuve de la conformité de la caisse avec la loi.
Se certifier simplement !
Rester en sécurité avec un certificat ou
une auto-attestation ?
Ici aussi, on peut faire le parallèle avec le mot de passe : plus le mot de passe est ancien, moins il est sûr.
Il en va de même pour la certification ! De petites modifications de l’interface utilisateur de la caisse ou de nouvelles fonctionnalités qui ne concernent pas la fiscalisation sont rapidement effectuées. L’exploitant de la caisse reçoit une mise à jour et tout le monde est content. Mais après des mois, des semaines ou ou parfois seulement quelques jours, une modification plus profonde est apportée au logiciel POS. Par exemple, un champ de données est introduit pour le ticket de caisse ou la création des archives est modifiée. Et voilà que le certificat ou l’attestation émis n’est plus valable. Chaque PosOperator doit maintenant recevoir une nouvelle preuve de conformité pour le logiciel actuel, tout comme vous changez pour un nouveau un mot de passe.
Il en va de même pour la certification. Seulement ici, le fabricant de caisses est contraint de se mettre à jour. Chaque année, il doit repasser son système POS au banc d’essai de l’organisme de certification et obtenir le renouvellement de son certificat. Celui-ci est également mis à la disposition du PosOperator. Si le PosCreator ne fait pas d’audit annuel, la caisse ne sera, au plus tard, plus sûre au bout de 12 mois. Elle n’est donc plus conforme à la législation.
Dans les deux cas, une chose est importante : le logiciel et la preuve de sa conformité avec la loi doivent être aussi actuels qu’un mot de passe. Car en cas de contrôle des autorités fiscale, le certificat ou l’auto-attestation doit être présenté.
Rester simplement conforme !
Les données sont-elles sécurisées dans une caisse conforme ?
Nous avons aussi le niveau suivant de sécurité de la caisse. Tout comme il est possible d’oublier son mot de passe, il est possible que des données de caisse disparaissent.
Les autorités financières exigent des archives fiscales des données de caisse. Chaque fabricant de caisses le propose, sinon le système POS ne serait pas conforme. Mais qu’en est-il de la conservation ? L’utilisateur de la caisse enregistre sagement les données sur une clé USB, il y a suffisamment de place. Les années passent et tout à coup, cette clé USB disparaît et les autorités financières se bousculent au portillon ! Maintenant, le PosOperator a vraiment un problème, car les données n’ont pas été conservées en toute sécurité.
Et c’est encore pire si, par surprise, la caisse est défectueuse ou même volée. Où sont maintenant toutes les données des dernières heures, jours, semaines ou même mois ? Elles ont disparu ! En effet, une sauvegarde est généralement oubliée dans l’agitation du travail quotidien. Il serait alors bon que ces données soient mises en miroir sur une mémoire externe et, idéalement, automatiquement et sans intervention de l’utilisateur.
Tout simplement sûr !