Sage pour les Moyennes et Grandes Entreprises

Le SDD et la signature bancaire !

Quels changements pour la signature bancaire?

Quels changements pour le prélevement bancaire ?

Comment s’y préparer ?

15 Mars 2011

Nasser Chahi, Consultant avant vente

#2

Rappel de l’agenda SEPA/Protocoles

Réunion du Comité national SEPA en date du 13 janvier 2011la migration au virement SEPA en France se poursuit à un rythme soutenu, passant de 1% du total des virements à plus de 10% fin 2010.

(période mai à décembre 2010)

#3

AgendaLA SIGNATURE BANCAIRE

o Rappel sur la signature électronique bancaire o La Politique d’Acceptation Commune (PAC)o Les protocoles pour la signature bancaire (EBICS TS / SwiftNet FileAct)o Les impacts pour l’entreprise (SI, Administratif, Utilisateur)

LE PRELEVEMENT EUROPEEN (SDD)

o Définition du prélèvement SEPAo Le contexte juridiqueo Le formulaire et les données du mandat SEPAo Le workflow du prélèvement SEPAo Les principales différences avec le prélèvement françaiso Le cas particulier du prélèvement B2Bo Les qualifiants dans le relevé SEPA AFB120 enrichi

LA SOLUTION SAGE

o FRP Treasury Communication et Signature

#4

Rappel sur la signature électronique bancaire

#5

Les principes de la signature électronique

Authentification réciproque : processus garantissant à une personne l'identité de son partenaire (Signature de transport)

Intégrité : garantit aux 2 parties en présence la non altération des données lors du transfert (Chiffrement)

Confidentialité : service assurant aux parties en présence que les informations communiquées ne peuvent être connues d'aucune autre personne

(Scellement)

Non répudiation : preuve fournie aux deux parties en présence lors d'un transfert de données que l'envoi/réception de données s'est bien effectuée

(Signature personnelle)

#6

EBICS TS

EBICS T

Rappel sur la signature (personnelle) bancaire

Vous

Signature de Transport

SignaturePersonnelle

Banques France

Signature personnelle

– Clé RSA (signature/authentification/chiffrement) de 2048 bits

– Dispositif de signature (Token USB (clé) / Certificats X509)

– Franco-allemand, bientôt étendu dans la zone SEPA

– Signature de transport incluse dans le protocole EBICS

– Clé de chiffrement limité à 1024 bits

– Dispositif de signature (carte DX+ / Lecteur à carte à puce)

– Limité à la France

– Signature de transport (Licence EASEIT payante et séparée).

Etebac 5

EBICS/TS

Authentification Banque/Entreprise (Transport)Confidentialité des données (Chiffrement)Intégrité du message (Scellement)Non-répudiation (Signature électronique personnelle)

#7

La Politique d’Acceptation Commune (PAC)

#8

Quelle Signature pour remplacer celle d’ETEBAC 5 ?

– Dans le cadre du remplacement d’ETEBAC 5 et pour répondre au besoin d’une signature Electronique Personnelle Multi-bancaire les points suivants sont mis en œuvre :

– Définition par le CFONB de la Politique d’Acceptation Commune (PAC) et règles pour l’interopérabilité.

– Référencement à la PAC des Autorités de Certification qui souhaitent répondre à ces exigences

– Signature Electronique basée sur les certificats X509 ( Authentification et Signature)

– Support de la signature bancaire sur les protocoles EBICS/TS, SwiftNet/FileAct ainsi que les autres protocoles (FTPs, Pesit IP, HTTPs..) et solutions de Web Banking

#9

Les bases de cette Politique d’Acceptation Commune

− Le Référentiel général de sécurité (RGS) a été publié au JO du 4 février 2010. Rédigé par l’ANSSI (Agence nationale de la sécurité des systèmes d’information) et la DGME, il fixe les règles de sécurité (identification, signature électronique et horodatage) que les systèmes d’information des Autorités administratives (AA) devront appliquer pour assurer la confidentialité et l’intégrité des informations échangées, leur propre disponibilité et intégrité et l’identification de leurs utilisateurs.

− C’est sur le RGS (Référentiel général de sécurité ) et la PRIS ( Politique de Référencement Intersectorielle de Sécurité ) qui est la base d'exigences des services de certification que le CFONB (Comité Français d’Organisation et de Normalisation Bancaires) a fondé sa nouvelle PAC (Politique d’acceptation commune).

− Les AC doivent être accrédités par le Cofrac (Comité français d'accréditation)

#10

Autorité de Certification et Autorité d’Enregistrement

> Une autorité de certification (AC) fournit 4 services principaux :- Fabrication de bi-clés- Certification de clé publique et publication de certificats- Révocation de certificats- Gestion de la fonction de certification

> Une Autorité d’enregistrement (AE) est responsable de :

- L’identification et de l’authentification d’un demandeur de certificat- L’autorité d’enregistrement peut intervenir pour l’attribution d’un certificat, pour sa révocation ou pour les deux.

Note : Les rôles d’AC et d’AE peuvent être assurés par des entités distinctes ou confondues…

Dans de nombreux cas les banques feront office d’AE

#11

Liste des certificats compatibles EBICS/TS (4 fév 2011)

A vérifier auprès de votre banque quels certificats

sont acceptés !

#12

Les nouveaux protocoles pour la signature bancaireEBICS TS

#13

EBICS, la connexion directe aux banques

– Respecte au minimum ce qui existe en Etebac 3/5 (réception, émission par fax, signature électronique..).

– Utilisation des standards de l’Internet (XML, HTTPS, SSL..)

– Adopté par la France et l’Allemagne dans un 1er temps

– Version Etebac 3 de EBICS (depuis novembre 2009) - Version Etebac 5 de EBICS (depuis novembre 2010)

– Consortium Franco - Allemand (CFONB, ZKA) ouvert à d’autres pays et communautés bancaires…

– Adoption en cours par d’autres pays de la zone SEPA (Autriche, Suisse, Hollande , …).

– Accepte la volumétrie, la compression des fichiers, les formats variables et fixe!

Entreprise

HTTPs

Réseau public internet ou VPN (réseau privé)

Solution DeCommunicatio

n et de Signature

Banques

#14

Exemple de répartition protocolaire pour une banque..

#15

Les impacts pour l’entrepriseSI, Administratif, utilisateur

#16

– Demande de lecteur carte à puce à l’éditeur/ solution de communication bancaire + Licence protocole Etebac 5 + Licence Easeit (D9)

– Demande de Carte DX+ (signature et transport manuel), de carte D9 (Transport automatique) auprés d’une banque

– La banque s’adresse au GSIT (GIE CB) pour obtenir les cartes.

– Transmission par la banque des cartes et des codes PIN séparément (nominatif et confidentiel)

– Ouverture de contrat Etebac 5 auprès de toutes les banques avec signature bancaire

• (transmission des informations des cartes utilisées)

• (comptes concernés, flux concernés, pouvoirs bancaires..)

– Paramétrage du Protocole Etebac 5 + Mise en place de la carte D9 si Transport Automatique.

– Test signature simple ou double des paiements + émission en banque.

– Validation avec la banque de la date de mise en production.

Etebac 5

Procédures pour mettre en œuvre pour Etebac 5

#17

– Demande solution de communication bancaire + Licence protocole EBICS/TS

– Demande de E Token avec Certificats X509 auprès d’une banque

– La banque fournit les dispositifs (elle-même si elle est AC+AE ou elle les demande à une AC si elle n’est que AE)

– La banque transmet les dispositifs (vierge ou non) au client et éventuellement les codes PIN séparément.

• Si les Token sont vide, le client se connecte à l’AC pour télécharger les certificats X509 et choisir son code PIN (ex 3SKEY)

– Le client ouvre les contrat EBICS/TS auprès de ses autres banques:

• (transmission des informations des Token utilisés)

• (comptes concernés, flux concernés, liste des signataires, pouvoirs bancaires..)

– Validation technique des postes (Internet Explorer, Machine Virtuelle Java, accès Internet..)

– Installation des pilotes (driver) pour les clé USB (E Token)

– Paramétrage du Protocole EBICS/TS (Signature de Transport incluse dans le protocole)

• Auto-génération des 3 certificats et courriers INI/HIA/HPB (sur la solution FRP Universe)

• Test de connexion en EBICS T (validation de la signature de Transport)

• Transmission des 3 lettres de confirmation à chaque banque (Fax, Mail..)..

– Paramétrage de la signature (signataires+ dispositif Clé USB (E Token) associé + pouvoirs bancaires).

– Test signature simple ou double des paiements + émission en banque.

– Validation avec la banque de la date de mise en production.

EBICS/TS

Procédures pour mettre en œuvre EBICS/TS

#18

Exemple de lettre d’initialisation

Editer et à envoyer (signé) à la banque pour valider l’échange des certificats lors des tests de connexion.

#19

Les contrats télématiques EBICS TS : Définir les flux à signer et les pouvoirs bancaires pour les personnes habilitées à l’exécution d’opérations.

Les contrats EBICS/TS

#20

Cas des certificats 3SKEY et les E Tokens pour EBICS TS

L’activation des certificats 3SKey s’appuie sur les phases suivantes :

SWIFT délivre les certificats sur Etoken numérotés et anonymes aux Banques Le client commande les Etoken et certificats 3SKey auprès d’une de ses banques Le client active son certificat via le portail 3SKey et obtient un unique IDLes banques enregistrent le clients et associent les signataires aux certificats activés et aux Unique IDLe client peut Révoquer les certificats via le Portail (et doit prévennir ses banques)

#21

La signature interne ou bancaire sous EBICS T ou TS

Signature de Transportcertificats

Banques

Réseau Internet(VPN)

Liaison Ethernet (TCP-IP)

EBICS/T confirmé par fax

Proxy/Firewall

Signature de Transportcertificats Proxy/Firewall

EBICS:TS Signature bancaire (pas de confirmation fax)

Liaison Ethernet (TCP-IP)

Vous

SignatureInterne

Vous

SignatureBancaire

Réseau Internet(VPN)

#22

En résumé ce qu’il faut retenir…

• Organisation– Souscrire une demande pour les nouveaux dispositifs de signature (E Token)– Souscrire ou faire évoluer les contrats télématiques actuels, reconduire ou modifier les pouvoirs bancaires– Auto générer dans FRP Universe Communication les 3 certificats (Partie Transport sous EBICS)– Communiquer les Lettres d’Initialisation (3 certificats) à chaque banque.

• Application– Faire évoluer les applications de communication bancaire vers EBICS TS…. (FRP Universe Communication et

signature…)– Adapter les échanges avec les applications source et cible (ERP, Trésorerie, Paie, etc.).– Prévoir le fonctionnement en double « run » pendant la période de recouvrement ETEBAC/EBICS

• Infrastructure– Les serveurs (application et stockage de données).– Equipements de télécommunication TCP/IP (carte¨Ethernet).– Identifier les accès au réseau IP externe (VPN, LS, Internet).– Sécuriser l’accès externe (Firewall/Proxy, HTTPs).

#23

L’évolution du Prélèvement bancaire français

SDD/SEPA

#24

Définition du prélèvement SEPA

Le prélèvement SEPA est un paiement initié par le créancier sur la base d’une autorisation préalable : le mandat donné par le débiteur. Cette autorisation peut être générale s’il s’agit de paiements récurrents, ou unitaire s’il s’agit d’un paiement ponctuel.

Le prélèvement SEPA est utilisable pour des opérations de débit ponctuelles ou récurrentes libellées en euros dans la zone SEPA.

Le prélèvement SEPA présente les caractéristiques suivantes :

le débiteur doit donner à son créancier une autorisation appelée « mandat » et conservé par le créancier

le créancier émet son ordre de débit au plus tard 5 jours (1ere opération ou opération ponctuelle) ou 2 jours ( opérations récurrentes) avant la date de paiement. À la date prévue, la banque du débiteur transfère les fonds à la banque du créancier ;

un champ de 140 caractères est à la disposition de la clientèle pour pouvoir transmettre un libellé qui parvienne au bénéficiaire sans altération ;

le débiteur est identifié par un BIC-IBAN ;

le débiteur peut demander à sa banque le remboursement d’un prélèvement SEPA déjà effectué. Il dispose pour cela d’un délai de 8 semaines après l’opération si le prélèvement a été réalisé sur la base d’un mandat valide, et de 13 mois en cas d’absence de mandat valide.

#25

Le contexte juridique

Notion de consentement

• Le consentement du payeur (débiteur) est donné pour :

•Une opération (ex : mandat de one off ou ponctuel)

•Une série d’opérations (ex : mandat récurrent)

• La forme du consentement = le mandat

• Le retrait du consentement = révocation jusqu’à une date limite

•Dans les 8 semaines suivants le débit à (D), le remboursement est fait à première demande

•Au‐delà de ces 8 semaines et dans les 13 mois suivants le débit à (D), la banque du débiteur doit faire une recherche de preuve

#26

Le formulaire et les données du Mandat

Le Mandat (=consentement du débiteur donné au créancier)>Un formulaire papier ou électronique, signé par le débiteur

>Identifie une seule créance (un seul contrat sous‐jacent)

>Géré par le créancier, crée, dématérialisé, stocké (ex: GED)

>Les données du mandat sont transportées dans les messages de prélèvement SEPA

>Caduc au bout de 36 mois si inactif

>Révocable à tout moment par le débiteur auprès du créancier (mais aussi auprès de sa banque)

Les données obligatoires

> RUM = Référence Unique du Mandat

> ICS = Identifiant Créancier SEPA

> BIC & IBAN = domiciliation bancaire

> Date de signature

> Type de paiement (Ponctuel / Récurrent)

{ RUM + ICS } Couple unique pour un mandat

#27

Représentation de la structure de l’ICS

> Structure de l’identifiant créancier SEPA pour la France:• ICS composé de 13 caractères ex : FR35ZZZ123456

FR XX ZZZ 123456

Code pays ISO 2 caractères

Clé de contrôle publique2 caractères

Code Activité3 caractères libres

Numéro National d’Emetteur - NNE

6 chiffres

Le formulaire et les données du Mandat

Du NNE à l’identifiant Créancier SEPA (ICS)

> Demande d’attribution d’un ICS français à la Banque de France par la banque du créancier• Le créancier a déjà un NNE , il doit fournir un KBIS récent

• Le créancier a plusieurs NNE, une optimisation est souhaitée afin de n’avoir qu’un seul ICS

• Le créancier peut utiliser le code d’activité afin de différencier ses activités… (réorganisation)

Rappel : ce code ne sert pas à l’unicité couple [ICS, RUM] mais donne lieu à un changement des données du Mandat s’il est modifié.

#28

Exemple de Mandat SDD 1/2

#29

Exemple de Mandat SDD 2/2

L'e-mandate est un mandat électronique

le prélèvement SEPA s'appuyant sur un mandat unique transmis au seul créancier, il devient possible d'imaginer la dématérialisation complète de ces mandats, en s'appuyant sur les techniques utilisées actuellement par les sites de vente à distance.L'e-mandate est donc un mandat classique matérialisé par un échange et un accord donné par le débiteur sur le site web du créancier.

#30

La signature du Mandat par le débiteur

Étape 3 : prélèvements + données du mandat

Étape 1 : Proposition de règlement par SDD

Retour du mandat signé

SEPA Direct Debit CORE & B2B

CréancierDébiteur

Banque du

débiteur

Banque du

créancier

Gestiondes

mandats

Archivage & Dématérialisation

Relevés de

compte

B2B Autorisation préalable + données du mandat

prélèvement + données du mandat

Étape 2 : Pré notification

Le workflow du prélèvement SEPA

#31

Principales différences avec le prélèvement français

SDD Prélèvement FrançaisPérimètre géographique Zone SEPA France

Délai d’anticipation

- SDD B2B: J+1- SDD CORE- J+5 (ponctuel ou 1ère opération récurrente)- J+2 ( à partir de la 2eme opération récurrente)

- Ordinaire: J+4- Accéléré: J+2

Mandat

Un mandat unique signé et délivré par le débiteur au créancier ( forme papier ou electronique)

Un circuit simple entre le débiteur et le créancier n’impactant pas la banque du débiteur.

Un mandat papier permanent et révocable: l’autorisation de prélèvement est adressée par le créancier à la banque du débiteur. Un avis de prélèvement est adressé par le créancier au débiteur (pré notification).

Validité du Mandat 36 mois après la dernière transaction Permanente

Contrôle du Mandat par la banque du Débiteur

SDD CORE : OptionnelSDD B2B: Obligatoire Obligatoire

Référence du Mandat RUM: Référence Unique du Mandat Pas de référence du Mandant

Dématérialisation du Mandat Le Mandat peut être dématérialisé (E Mandate) Pas de dématérialisation (Double support papier)

Archivage du Mandat Par le Créancier (la banque reçoit uniquement les données dématérialisées)

Par la banque du débiteur (autorisation de prélèvement) et le créancier (demande de prélèvement)

Identifiant du Débiteur 35 caractères Pas d’identifiant Débiteur (mais un numéro de compte et le nom du débiteur).

Identifiant du Créancier ICS: Identifiant Créancier SEPA NNE

Identifiant compte bancaire IBAN/BIC RIB/RICE/RIP

Motif de l’Opération 140 caractères 31 caractères

#32

Principales différences avec le prélèvement français (suite)

SDD Prélèvement FrançaisPérimètre géographique Zone SEPA France

Format des Messages (fichier) XML ISO 20022 (variable) CFONB160 (fixe)

Délai de Pré Notification

Le créancier doit envoyer une pré notification au débiteur au moins 14 jours calendaires avant l’échéance. Délai réductible si accord entre débiteur/créancier)

Pas de délai. Le créancier doit juste aviser le débiteur avant l’émission du prélèvement.

Gestion des oppositions Les oppositions doivent être reçues par la banque du débiteur avant règlement bancaire

Les oppositions (refus de payer) doivent être reçues par la banque du débiteur avant le règlement interbancaire.

Délai max d’impayés (initiés par la banque du débiteur)

- SDD B2B: 2 jours- SDD CORE: 5 jours 7 jours

Délai Maximum des Demandes de Remboursement

- SDD CORE: 8 semaines à compter de la date de débit en compte.En cas de transaction non autorisée, le débiteur a 13 mois pour demander le remboursement à compter de la date de débit en compte.

Jusqu’à 2 mois et pout tout motif

#33

Le cas particulier du Prélèvement B2B (interentreprises)

> Une version du prélèvement répondant aux besoins spécifiques des entreprises, prévoit des contrôles renforcés et des possibilités de contestation plus limitées afin de faciliter les échanges entre les entreprises de la zone SEPA.

> Principales caractéristiques du SDD B2B:

> lors de chaque débit la banque du débiteur est tenue de vérifier la cohérence de l'opération avec le mandat initial

> Les institutions financières ayant une obligation de vérification de la véracité des informations les remboursements sont interdits.

> Les échanges sont fiabilisés et accélérés : les délais de présentation sont raccourcis à D-1 JO.

> Afin de respecter les contraintes liées à la bonne exécution du SDD le débiteur devra informer la banque de toute modification ou annulation du mandat.

> Ce type de flux doit être proposé par vos partenaires financiers.

#34

Les qualifiants dans le relevé SEPA AFB120 enrichi

#35

Ce qu’il faut retenir

#36

Réussir sa migration Avec la solution Sage FRP Treasury Universe

Module Communication/Signature

#37

Migrer avec sérénité…

Migrer à ISO périmètre votre plateforme actuellePour appréhender les nouveautés, organiser des tests, mutualiser…

Migrer les protocoles bancaires…Passage vers EBICS, SwiftNet Service FileAct, FTPs…

Migrer vers les formats SEPA…Ibanisation des RIBS, conversion de format XML…

#38

Sage FRP UniverseCommunication bancaireSignature électronique

Utilisateurs nomades

Utilisateurs web

SI, ERPs

Autres protocoles FTPs…

Service Bureau

Une plateforme unique pour tous vos échanges sécurisés

Banques France

Banques Europe, Monde

Un portail web (signature, payment, relevés, téléchargements)

Autres EtablissementsDouanes, Urssaf…

#39

Gérez toutes vos échanges bancaires

> FRP Universe est présent dans plus de 6500 entreprises !

Alertes Mail

Appels automatiques / manuels

Contrôle des doublons

Calendriers d’appel sur les banques

Nombreuses tâches paramétrables

Archivage crypté des fichiers

Moniteur de supervision

Purge automatique et paramétrable

Traçabilité des échanges

#40

La signature web pour les utilisateurs

> Signature de validation, signature bancaire...

#41

La signature web pour les utilisateurs

Le signataire peut voir d’un seul coup d’œil:Le contrat télématique, le montant total, le nombre de transaction, la 1ere date d’éxécution du fichier, le statut urgent du paiement.

Il peut refuser totalement ou partiellement le contenu d’un fichier de paiementIl peut être restreint dans l’affichage des flux sensibles comme les salaires

Des alertes mail permettent de notifier à chaque étape du workflow..

Des audits permettent de savoir qui fait quoi et de connaitre le statut des fichiers

#42

Une bibliothèque de formats bancaires qui s’enrichit au travers de Service PackSuivi des normes (SWIFT-MTXX , SEPA-ISO 20022 XML…)

Gestion complète des formats bancaires

Editez et traitez tous vos formats bancaires!

#43

Procédures d’authentification• Support Active Directory, LDAP et gestion locale

• Ségrégation des tâches d’administration

• Règles de gestion des mots de passe (gestion locale)

• Règles des 4 yeux (double validation) •Le mot de passe doit être changé à la première connexion• Règles sur la longueur et les caractères• Fréquence de modification des mots de passe• Compte désactivé après plusieurs tentatives• Compte activé sur une période• Contrôles des mécanismes d’attaque (Hacker)

Recommandations Sarbanes Oxley

Gérez de manière fineles habilitations de vos utilisateurs !

#44

Audit par produit, module, user,… et description des tâches effectuées

Audit complet d’Administration

Pour vos audits, un reporting complet sur toute l’activité de la solution !

#45

Workflow des flux en émission

Importation automatique des fichiers bancaires (AFB, MTXXX, XML20022,…)Importation automatique des fichiers bancaires (AFB, MTXXX, XML20022,…)

Signature bancaireSignature bancaire

Signature interneSignature interne

Transmission en banque sécurisée ( automatique ou manuel)Transmission en banque sécurisée ( automatique ou manuel)

Signature bancaireSignature bancaire

Contrôle des fichiers doublonsContrôle des fichiers doublons

Applications règles signatures (montant, devises, listes comptes fermés, banques..)Applications règles signatures (montant, devises, listes comptes fermés, banques..)

Contrôles sur le fichier (format, syntaxe…)Contrôles sur le fichier (format, syntaxe…)

Signature interneSignature interne

Transmission

irecte

Transmission

irecte

OU OUOU

#46

Administration de la signature bancaire/interne

#47

Administration des dispositifs de signature

#48

Suivi du workflow de signature

- Information sur les précédents workflow de signature et Tickets

Savoir qui a fait quoi et quand !

#49

Signature Web Audit signature précis

Editer les règles de signature

#50

Gestion SEPA SDD dans la version Universe 3.2

> Règlementaire

− Adaptations SDD

> Gestion des prélèvements récurrents> Import des mandats> Révision de la gestion des amendements sur les mandats> Reports

− Adaptations SCT

> Format SEPA SCT Version Pain 001-001-03

− Contrôle BIC

> Intégration de l’annuaire SWIFT pour contrôler la valeur BIC

− Qualifiants SEPA

> Révision de la gestion des qualifiants SEPA dans les traitements de conversion des RLV pour les formats AFB 120 & MT 940

− Relevés de compte XML

> Norme CAMT 053

www.sage.fr/mge

Questions/Réponses

présentation DWS/Sage

Merci de votre attention