Le SDD et la signature bancaire! Quels changements pour la signature bancaire? Quels changements pour le prélevement bancaire? Comment s y préparer? 15 Mars 2011 Nasser Chahi, Consultant avant vente Sage pour les Moyennes et Grandes Entreprises
Rappel de l agenda SEPA/Protocoles Réunion du Comité national SEPA en date du 13 janvier 2011 la migration au virement SEPA en France se poursuit à un rythme soutenu, passant de 1% du total des virements à plus de 10% fin 2010. (période mai à décembre 2010) #2
Agenda LA SIGNATURE BANCAIRE o Rappel sur la signature électronique bancaire o La Politique d Acceptation Commune (PAC) o Les protocoles pour la signature bancaire (EBICS TS / SwiftNet FileAct) o Les impacts pour l entreprise (SI, Administratif, Utilisateur) LE PRELEVEMENT EUROPEEN (SDD) o Définition du prélèvement SEPA o Le contexte juridique o Le formulaire et les données du mandat SEPA o Le workflow du prélèvement SEPA o Les principales différences avec le prélèvement français o Le cas particulier du prélèvement B2B o Les qualifiants dans le relevé SEPA AFB120 enrichi LA SOLUTION SAGE o FRP Treasury Communication et Signature #3
#4 Rappel sur la signature électronique bancaire
Les principes de la signature électronique Authentification réciproque : processus garantissant à une personne l'identité de son partenaire (Signature de transport) Intégrité : garantit aux 2 parties en présence la non altération des données lors du transfert (Chiffrement) Confidentialité : service assurant aux parties en présence que les informations communiquées ne peuvent être connues d'aucune autre personne (Scellement) Non répudiation : preuve fournie aux deux parties en présence lors d'un transfert de données que l'envoi/réception de données s'est bien effectuée (Signature personnelle) #5
Rappel sur la signature (personnelle) bancaire EBICS T Vous Signature de Transport Signature Personnelle Signature personnelle EBICS TS Banques France Clé RSA (signature/authentification/chiffrement) de 2048 bits Dispositif de signature (Token USB (clé) / Certificats X509) Franco-allemand, bientôt étendu dans la zone SEPA Signature de transport incluse dans le protocole EBICS Clé de chiffrement limité à 1024 bits Dispositif de signature (carte DX+ / Lecteur à carte à puce) Limité à la France EBICS/TS Authentification Banque/Entreprise (Transport) Confidentialité des données (Chiffrement) Intégrité du message (Scellement) Non-répudiation (Signature électronique personnelle) Etebac 5 Signature de transport (Licence EASEIT payante et séparée). #6
#7 La Politique d Acceptation Commune (PAC)
Quelle Signature pour remplacer celle d ETEBAC 5? Dans le cadre du remplacement d ETEBAC 5 et pour répondre au besoin d une signature Electronique Personnelle Multi-bancaire les points suivants sont mis en œuvre : Définition par le CFONB de la Politique d Acceptation Commune (PAC) et règles pour l interopérabilité. Référencement à la PAC des Autorités de Certification qui souhaitent répondre à ces exigences Signature Electronique basée sur les certificats X509 ( Authentification et Signature) Support de la signature bancaire sur les protocoles EBICS/TS, SwiftNet/FileAct ainsi que les autres protocoles (FTPs, Pesit IP, HTTPs..) et solutions de Web Banking #8
Les bases de cette Politique d Acceptation Commune Le Référentiel général de sécurité (RGS) a été publié au JO du 4 février 2010. Rédigé par l ANSSI (Agence nationale de la sécurité des systèmes d information) et la DGME, il fixe les règles de sécurité (identification, signature électronique et horodatage) que les systèmes d information des Autorités administratives (AA) devront appliquer pour assurer la confidentialité et l intégrité des informations échangées, leur propre disponibilité et intégrité et l identification de leurs utilisateurs. C est sur le RGS (Référentiel général de sécurité ) et la PRIS ( Politique de Référencement Intersectorielle de Sécurité ) qui est la base d'exigences des services de certification que le CFONB (Comité Français d Organisation et de Normalisation Bancaires) a fondé sa nouvelle PAC (Politique d acceptation commune). Les AC doivent être accrédités par le Cofrac (Comité français d'accréditation) #9
Autorité de Certification et Autorité d Enregistrement > Une autorité de certification (AC) fournit 4 services principaux : - Fabrication de bi-clés - Certification de clé publique et publication de certificats - Révocation de certificats - Gestion de la fonction de certification > Une Autorité d enregistrement (AE) est responsable de : - L identification et de l authentification d un demandeur de certificat - L autorité d enregistrement peut intervenir pour l attribution d un certificat, pour sa révocation ou pour les deux. Note : Les rôles d AC et d AE peuvent être assurés par des entités distinctes ou confondues Dans de nombreux cas les banques feront office d AE #10
Liste des certificats compatibles EBICS/TS (4 fév 2011) A vérifier auprès de votre banque quels certificats sont acceptés! #11
#12 Les nouveaux protocoles pour la signature bancaire EBICS TS
EBICS, la connexion directe aux banques Entreprise Solution De Communicatio n et de Signature HTTPs Réseau public internet ou VPN (réseau privé) Banques Respecte au minimum ce qui existe en Etebac 3/5 (réception, émission par fax, signature électronique..). Utilisation des standards de l Internet (XML, HTTPS, SSL..) Adopté par la France et l Allemagne dans un 1 er temps Version Etebac 3 de EBICS (depuis novembre 2009) - Version Etebac 5 de EBICS (depuis novembre 2010) Consortium Franco - Allemand (CFONB, ZKA) ouvert à d autres pays et communautés bancaires Adoption en cours par d autres pays de la zone SEPA (Autriche, Suisse, Hollande, ). Accepte la volumétrie, la compression des fichiers, les formats variables et fixe! #13
Exemple de répartition protocolaire pour une banque.. #14
#15 Les impacts pour l entreprise SI, Administratif, utilisateur
Procédures pour mettre en œuvre pour Etebac 5 Demande de lecteur carte à puce à l éditeur/ solution de communication bancaire + Licence protocole Etebac 5 + Licence Easeit (D9) Demande de Carte DX+ (signature et transport manuel), de carte D9 (Transport automatique) auprés d une banque La banque s adresse au GSIT (GIE CB) pour obtenir les cartes. Transmission par la banque des cartes et des codes PIN séparément (nominatif et confidentiel) Ouverture de contrat Etebac 5 auprès de toutes les banques avec signature bancaire (transmission des informations des cartes utilisées) (comptes concernés, flux concernés, pouvoirs bancaires..) Etebac 5 Paramétrage du Protocole Etebac 5 + Mise en place de la carte D9 si Transport Automatique. Test signature simple ou double des paiements + émission en banque. Validation avec la banque de la date de mise en production. #16
Procédures pour mettre en œuvre EBICS/TS Demande solution de communication bancaire + Licence protocole EBICS/TS Demande de E Token avec Certificats X509 auprès d une banque La banque fournit les dispositifs (elle-même si elle est AC+AE ou elle les demande à une AC si elle n est que AE) La banque transmet les dispositifs (vierge ou non) au client et éventuellement les codes PIN séparément. Si les Token sont vide, le client se connecte à l AC pour télécharger les certificats X509 et choisir son code PIN (ex 3SKEY) Le client ouvre les contrat EBICS/TS auprès de ses autres banques: (transmission des informations des Token utilisés) (comptes concernés, flux concernés, liste des signataires, pouvoirs bancaires..) Validation technique des postes (Internet Explorer, Machine Virtuelle Java, accès Internet..) EBICS/TS Installation des pilotes (driver) pour les clé USB (E Token) Paramétrage du Protocole EBICS/TS (Signature de Transport incluse dans le protocole) Auto-génération des 3 certificats et courriers INI/HIA/HPB (sur la solution FRP Universe) Test de connexion en EBICS T (validation de la signature de Transport) Transmission des 3 lettres de confirmation à chaque banque (Fax, Mail..).. Paramétrage de la signature (signataires+ dispositif Clé USB (E Token) associé + pouvoirs bancaires). Test signature simple ou double des paiements + émission en banque. Validation avec la banque de la date de mise en production. #17
Exemple de lettre d initialisation Editer et à envoyer (signé) à la banque pour valider l échange des certificats lors des tests de connexion. #18
Les contrats EBICS/TS Les contrats télématiques EBICS TS : Définir les flux à signer et les pouvoirs bancaires pour les personnes habilitées à l exécution d opérations. #19
Cas des certificats 3SKEY et les E Tokens pour EBICS TS L activation des certificats 3SKey s appuie sur les phases suivantes : SWIFT délivre les certificats sur Etoken numérotés et anonymes aux Banques Le client commande les Etoken et certificats 3SKey auprès d une de ses banques Le client active son certificat via le portail 3SKey et obtient un unique ID Les banques enregistrent le clients et associent les signataires aux certificats activés et aux Unique ID Le client peut Révoquer les certificats via le Portail (et doit prévennir ses banques) #20
La signature interne ou bancaire sous EBICS T ou TS Vous EBICS/T confirmé par fax Signature de Transport certificats Proxy/Firewall Réseau Internet (VPN) Signature Interne Liaison Ethernet (TCP-IP) Banque s Vous Signature Bancaire Signature de Transport certificats Liaison Ethernet (TCP-IP) Proxy/Firewall Réseau Internet (VPN) EBICS:TS Signature bancaire (pas de confirmation fax) #21
En résumé ce qu il faut retenir Organisation Souscrire une demande pour les nouveaux dispositifs de signature (E Token) Souscrire ou faire évoluer les contrats télématiques actuels, reconduire ou modifier les pouvoirs bancaires Auto générer dans FRP Universe Communication les 3 certificats (Partie Transport sous EBICS) Communiquer les Lettres d Initialisation (3 certificats) à chaque banque. Application Faire évoluer les applications de communication bancaire vers EBICS TS. (FRP Universe Communication et signature ) Adapter les échanges avec les applications source et cible (ERP, Trésorerie, Paie, etc.). Prévoir le fonctionnement en double «run» pendant la période de recouvrement ETEBAC/EBICS Infrastructure Les serveurs (application et stockage de données). Equipements de télécommunication TCP/IP (carte Ethernet). Identifier les accès au réseau IP externe (VPN, LS, Internet). Sécuriser l accès externe (Firewall/Proxy, HTTPs). #22
L évolution du Prélèvement bancaire français SDD/SEPA #23
Définition du prélèvement SEPA Le prélèvement SEPA est un paiement initié par le créancier sur la base d une autorisation préalable : le mandat donné par le débiteur. Cette autorisation peut être générale s il s agit de paiements récurrents, ou unitaire s il s agit d un paiement ponctuel. Le prélèvement SEPA est utilisable pour des opérations de débit ponctuelles ou récurrentes libellées en euros dans la zone SEPA. Le prélèvement SEPA présente les caractéristiques suivantes : le débiteur doit donner à son créancier une autorisation appelée «mandat» et conservé par le créancier le créancier émet son ordre de débit au plus tard 5 jours (1ere opération ou opération ponctuelle) ou 2 jours ( opérations récurrentes) avant la date de paiement. À la date prévue, la banque du débiteur transfère les fonds à la banque du créancier ; un champ de 140 caractères est à la disposition de la clientèle pour pouvoir transmettre un libellé qui parvienne au bénéficiaire sans altération ; le débiteur est identifié par un BIC-IBAN ; le débiteur peut demander à sa banque le remboursement d un prélèvement SEPA déjà effectué. Il dispose pour cela d un délai de 8 semaines après l opération si le prélèvement a été réalisé sur la base d un mandat valide, et de 13 mois en cas d absence de mandat valide. #24
Le contexte juridique Notion de consentement Le consentement du payeur (débiteur) est donné pour : Une opération (ex : mandat de one off ou ponctuel) Une série d opérations (ex : mandat récurrent) La forme du consentement = le mandat Le retrait du consentement = révocation jusqu à une date limite Dans les 8 semaines suivants le débit à(d), le remboursement est fait àpremière demande Au delà de ces 8 semaines et dans les 13 mois suivants le débit à(d), la banque du débiteur doit faire une recherche de preuve #25
Le formulaire et les données du Mandat Le Mandat (=consentement du débiteur donné au créancier) > Un formulaire papier ou électronique, signé par le débiteur >Identifie une seule créance (un seul contrat sous jacent) >Géré par le créancier, crée, dématérialisé, stocké (ex: GED) >Les données du mandat sont transportées dans les messages de prélèvement SEPA >Caduc au bout de 36 mois si inactif >Révocable àtout moment par le débiteur auprès du créancier (mais aussi auprès de sa banque) Les données obligatoires > RUM = Référence Unique du Mandat > ICS = Identifiant Créancier SEPA { RUM + ICS } Couple unique pour un mandat #26 > BIC & IBAN = domiciliation bancaire > Date de signature > Type de paiement (Ponctuel / Récurrent)
Le formulaire et les données du Mandat Représentation de la structure de l ICS > Structure de l identifiant créancier SEPA pour la France: ICS composé de 13 caractères ex : FR35ZZZ123456 FR XX ZZZ 123456 Code pays ISO 2 caractères Clé de contrôle publique 2 caractères Code Activité 3 caractères libres Numéro National d Emetteur - NNE 6 chiffres Du NNE à l identifiant Créancier SEPA (ICS) > Demande d attribution d un ICS français à la Banque de France par la banque du créancier Le créancier a déjà un NNE, il doit fournir un KBIS récent Le créancier a plusieurs NNE, une optimisation est souhaitée afin de n avoir qu un seul ICS Le créancier peut utiliser le code d activité afin de différencier ses activités (réorganisation) Rappel : ce code ne sert pas à l unicité couple [ICS, RUM] mais donne lieu àun changement des données du Mandat s il est modifié. #27
Exemple de Mandat SDD 1/2 #28
Exemple de Mandat SDD 2/2 L'e-mandate est un mandat électronique le prélèvement SEPA s'appuyant sur un mandat unique transmis au seul créancier, il devient possible d'imaginer la dématérialisation complète de ces mandats, en s'appuyant sur les techniques utilisées actuellement par les sites de vente à distance. L'e-mandate est donc un mandat classique matérialisé par un échange et un accord donné par le débiteur sur le site web du créancier. #29
Le workflow du prélèvement SEPA La signature du Mandat par le débiteur SEPA Direct Debit CORE & B2B Archivage & Dématérialisation Débiteur Étape 1 : Proposition de règlement par SDD Retour du mandat signé Étape 2 : Pré notification Créancier Gestion des mandats Relevés de compte B2B Autorisation préalable + données du mandat prélèvement + données du mandat Banque du débiteur Étape 3 : prélèvements + données du mandat Banque du créancier #30
Principales différences avec le prélèvement français SDD Prélèvement Français Périmètre géographique Zone SEPA France Délai d anticipation - SDD B2B: J+1 - SDD CORE - J+5 (ponctuel ou 1 ère opération récurrente) - J+2 ( à partir de la 2eme opération récurrente) - Ordinaire: J+4 - Accéléré: J+2 Mandat Un mandat unique signé et délivré par le débiteur au créancier ( forme papier ou electronique) Un circuit simple entre le débiteur et le créancier n impactant pas la banque du débiteur. Validité du Mandat 36 mois après la dernière transaction Permanente Contrôle du Mandat par la banque du Débiteur SDD CORE : Optionnel SDD B2B: Obligatoire Un mandat papier permanent et révocable: l autorisation de prélèvement est adressée par le créancier à la banque du débiteur. Un avis de prélèvement est adressé par le créancier au débiteur (pré notification). Obligatoire Référence du Mandat RUM: Référence Unique du Mandat Pas de référence du Mandant Dématérialisation du Mandat Le Mandat peut être dématérialisé (E Mandate) Pas de dématérialisation (Double support papier) Archivage du Mandat Identifiant du Débiteur Par le Créancier (la banque reçoit uniquement les données dématérialisées) 35 caractères Identifiant du Créancier ICS: Identifiant Créancier SEPA NNE Identifiant compte bancaire IBAN/BIC RIB/RICE/RIP Motif de l Opération 140 caractères 31 caractères Par la banque du débiteur (autorisation de prélèvement) et le créancier (demande de prélèvement) Pas d identifiant Débiteur (mais un numéro de compte et le nom du débiteur). #31
Principales différences avec le prélèvement français (suite) SDD Prélèvement Français Périmètre géographique Zone SEPA France Format des Messages (fichier) XML ISO 20022 (variable) CFONB160 (fixe) Délai de Pré Notification Gestion des oppositions Délai max d impayés (initiés par la banque du débiteur) Délai Maximum des Demandes de Remboursement Le créancier doit envoyer une pré notification au débiteur au moins 14 jours calendaires avant l échéance. Délai réductible si accord entre débiteur/créancier) Les oppositions doivent être reçues par la banque du débiteur avant règlement bancaire - SDD B2B: 2 jours - SDD CORE: 5 jours - SDD CORE: 8 semaines à compter de la date de débit en compte. En cas de transaction non autorisée, le débiteur a 13 mois pour demander le remboursement à compter de la date de débit en compte. Pas de délai. Le créancier doit juste aviser le débiteur avant l émission du prélèvement. Les oppositions (refus de payer) doivent être reçues par la banque du débiteur avant le règlement interbancaire. 7 jours Jusqu à 2 mois et pout tout motif #32
Le cas particulier du Prélèvement B2B (interentreprises) > Une version du prélèvement répondant aux besoins spécifiques des entreprises, prévoit des contrôles renforcés et des possibilités de contestation plus limitées afin de faciliter les échanges entre les entreprises de la zone SEPA. > Principales caractéristiques du SDD B2B: > lors de chaque débit la banque du débiteur est tenue de vérifier la cohérence de l'opération avec le mandat initial > Les institutions financières ayant une obligation de vérification de la véracité des informations les remboursements sont interdits. > Les échanges sont fiabilisés et accélérés : les délais de présentation sont raccourcis à D-1 JO. > Afin de respecter les contraintes liées à la bonne exécution du SDD le débiteur devra informer la banque de toute modification ou annulation du mandat. > Ce type de flux doit être proposé par vos partenaires financiers. #33
Les qualifiants dans le relevé SEPA AFB120 enrichi #34
Ce qu il faut retenir #35
#36 Réussir sa migration Avec la solution Sage FRP Treasury Universe Module Communication/Signature
Migrer avec sérénité Migrer à ISO périmètre votre plateforme actuelle Pour appréhender les nouveautés, organiser des tests, mutualiser Migrer les protocoles bancaires Passage vers EBICS, SwiftNet Service FileAct, FTPs Migrer vers les formats SEPA Ibanisation des RIBS, conversion de format XML #37
Une plateforme unique pour tous vos échanges sécurisés Un portail web (signature, payment, relevés, téléchargements) Utilisateurs web Autres protocoles FTPs Banques France Utilisateurs nomades Sage FRP Universe Communication bancaire Signature électronique Service Bureau SI, ERPs Autres Etablissements Douanes, Urssaf Banques Europe, Monde #38
Gérez toutes vos échanges bancaires > FRP Universe est présent dans plus de 6500 entreprises! Appels automatiques / manuels Calendriers d appel sur les banques Contrôle des doublons Alertes Mail Moniteur de supervision Nombreuses tâches paramétrables Purge automatique et paramétrable Archivage crypté des fichiers Traçabilité des échanges #39
La signature web pour les utilisateurs > Signature de validation, signature bancaire... #40
La signature web pour les utilisateurs Le signataire peut voir d un seul coup d œil: Le contrat télématique, le montant total, le nombre de transaction, la 1ere date d éxécution du fichier, le statut urgent du paiement. Il peut refuser totalement ou partiellement le contenu d un fichier de paiement Il peut être restreint dans l affichage des flux sensibles comme les salaires Des alertes mail permettent de notifier à chaque étape du workflow.. Des audits permettent de savoir qui fait quoi et de connaitre le statut des fichiers #41
Gestion complète des formats bancaires Une bibliothèque de formats bancaires qui s enrichit au travers de Service Pack Suivi des normes (SWIFT-MTXX, SEPA-ISO 20022 XML ) Editez et traitez tous vos formats bancaires! #42
Recommandations Sarbanes Oxley Procédures d authentification Support Active Directory, LDAP et gestion locale Ségrégation des tâches d administration Règles de gestion des mots de passe (gestion locale) Règles des 4 yeux (double validation) Le mot de passe doit être changé à la première connexion Règles sur la longueur et les caractères Fréquence de modification des mots de passe Compte désactivé après plusieurs tentatives Compte activé sur une période Contrôles des mécanismes d attaque (Hacker) Gérez de manière fine les habilitations de vos utilisateurs! #43
Audit complet d Administration Pour vos audits, un reporting complet sur toute l activité de la solution! Audit par produit, module, user, et description des tâches effectuées #44
Workflow des flux en émission Importation automatique des fichiers bancaires (AFB, MTXXX, XML20022, ) Contrôles sur le fichier (format, syntaxe ) Applications règles signatures (montant, devises, listes comptes fermés, banques..) OU OU OU Transmissio n irecte Signature interne Signature bancaire Signature interne Signature bancaire Contrôle des fichiers doublons Transmission en banque sécurisée ( automatique ou manuel) #45
Administration de la signature bancaire/interne #46
Administration des dispositifs de signature #47
Suivi du workflow de signature - Information sur les précédents workflow de signature et Tickets Savoir qui a fait quoi et quand! #48
Signature Web Audit signature précis Editer les règles de signature #49
Gestion SEPA SDD dans la version Universe 3.2 > Règlementaire Adaptations SDD > Gestion des prélèvements récurrents > Import des mandats > Révision de la gestion des amendements sur les mandats > Reports Adaptations SCT > Format SEPA SCT Version Pain 001-001-03 Contrôle BIC > Intégration de l annuaire SWIFT pour contrôler la valeur BIC Qualifiants SEPA > Révision de la gestion des qualifiants SEPA dans les traitements de conversion des RLV pour les formats AFB 120 & MT 940 Relevés de compte XML > Norme CAMT 053 #50
Questions/Réponses présentation DWS/Sage Merci de votre attention www.sage.fr/mge