Loi finance - article 88 et Hikashop

Bonjour Jérôme

Merci pour votre retour mais cela ne répond pas à ma question.

Dans la cas ou le marchand est le client final qui passe par un prestataire pour faire son site, il faut bien que les 3 parties soient dans la boucle de l'attestation :
-hikashop
-agence ou d'un indépendant qui réalise un site pour un client (template perso, modules, pluggin, configuration ...)
-client final

Merci

Bonjour Nicolas,

Je me permets de revenir vers vous pour savoir si vous avez pu avancer et où en êtes vous de la mise en conformité d'hsikashop avec la loi anti-fraude ?

Merci pour votre retour
Sandrine

Pour information, nous avons transmis une première boite noire à Nicolas pour procéder à des tests "alpha" il y a environ 2 semaines.
Nous attendons son feedback sur le résultat des premiers tests internes avant de pouvoir passer en "beta".

Notre "BBox-NF525", c'est le nom que nous lui avons donné, a aussi fait l'objet d'un premier audit de vulnérabilité externe pour vérifier qu'elle n'est pas altérable et que le "Web Service" qui y est associé est aussi sécurisé.
Actuellement, les premiers tests sont concluants mais ne sont pas encore terminés.

La BBox-NF525 n'est pas limitée à HikaShop mais peut fonctionner sur n'importe quel CMS, système eCommerce ou même développement spécifique.
Actuellement sa seule contrainte est qu'elle fonctionne sous PHP 5.3.10 ou supérieur et MySQL 5.1 ou supérieurs.

Prochainement, vous pourrez retrouver plus d'informations sur le site "bbox-nf525.fr" qui a été crée spécialement pour ce nouveau service.

Bonjour à tous,

@Edwin, c'est plutôt une bonne nouvelle, cette avancée !

@Nicolas de votre côté, nous confirmez-vous que cela avance aussi pour Hikashop ? Pouvez-vous nous en dire un peu plus (avancé, travail, délai...) ?

Merci
Bonne fin de journée
Sandrine

Bonjour à tous,
Bonjour Nicolas

J’ai découvert ce fil en cherchant des infos sur les impacts de la nouvelle loi et les solutions qui seront viables à long terme.

Concernant précisément hikashop que j’utilisais jusqu’ici, sa mise en conformité est-elle toujours d’actualité pour vous ?
Comme d’autres développeurs, j’ai surtout besoin de savoir si je peux continuer à l’utiliser ou si je dois dès maintenant me tourner vers Prestashop par exemple.

Merci d’avance pour votre réponse,

Sébastien

Bonjour à tous

@smulsant

Comme déjà indiqué, la solution BBox-NF525 s'adresse à n'importe quel environnement.
Bien entendu, nous testons en premier Hikashop puisque nous sommes partenaire et aussi l'auteur de hikainvoices.

Avant une mise production, il est important de faire de très nombreux tests et en particulier vérifier l'inaltérabilité du code et du contenu base de données comme requis par la loi ainsi que l'inaltérabilité des sauvegardes.

Tous ces points font partie de la BBox-NF525 et sont en cours de test "alpha interne" et aussi avec un premier utilisateur réel qui, nous l'espérons, permettra d'arriver au niveau bêta.
C'est un utilisateur qui a une ancienne version d'hikashop et qui pourrait aussi avoir besoin d'une mise en conformité pour du développement spécifique.

Hier, nous avons encore eu des tests de vulnérabilités pour tester les intrusions dans le Web Service qui est couplé à la BBox-NF525 et jusqu'à présent, tout est OK.
Les tests continuent.

Vu le niveau requis par la loi concernant l'inaltérabilité du code et des données, la tâche n'est pas simple pour être conforme puisque celle-ci mentionne une obligation de résultat et pas seulement une obligation de moyens.
Donc garantir que du code "open source", qui, par définition est modifiable, ne puisse pas être modifié et que du contenu en base de données ne puisse pas être altéré demande beaucoup d'effort.

Je suis heureux de lire que Nicolas travaille dessus puisque nous lui avons fourni une BBox-NF525 et lui avons expliqué en détail comment elle fonctionne et aussi le Web Service qui y est associé.
Je suis juste surpris de ne pas avoir vu d'installation de sa BBox-NF525 sur un site puisque celle-ci fonctionne uniquement pour un seul site et que sa licence est fournie une fois qu'elle est installée.

Donc le choses progresses et nous vous tiendrons au courant de l'état d'avancement

Bonjour à tous.

Bonne nouvelle, avec Nicolas nous avons bien progressé et nous en sommes en cours de validation du "firmware hikari" de la BBox-NF525 qui est la configuration standard qui sera proposée pour la gamme de produit Hikashop.
Si tout se passe comme prévu, d'ici 1 à 2 semaines, nous serons en beta.

Si certaines personnes veulent participer aux tests beta, qu'elles nous contacte via la page contact du site bbox-nf525.fr ou hikainvoices.com dans lequel vous pouvez aussi trouver notre adresse email.
Peu importe que vous ayez un vieux site ou du développement spécifique ou même un autre CMS que Joomla, la BBox-NF525, devrait pouvoir le détecter et s'adapter en conséquence.
La seule contrainte actuelle est qu'elle fonctionne avec PHP 5.3.10+, MySQL 5.1+ et que le serveur sur lequel le site tourne doit utiliser une adresse IP publique qui correspond à l'IP du nom de domaine du site.

Bonjour Edwin,

Bonne nouvelle, avec Nicolas nous avons bien progressé et nous en sommes en cours de validation du "firmware hikari" de la BBox-NF525 qui est la configuration standard qui sera proposée pour la gamme de produit Hikashop.

Tu vas demander la certification, c'est ca?

C'est en bonne voie et comme c'est système multi-CMS (ou pas) multi-extension (ou code spécifique), ... et que la certification est nécessaire à chaque version, les tests sont long pour éviter de devoir faire une MAJ de la solution.
En plus, la BBox contient du code inspiré de l'intelligence articificelle - ce qui n'est pas facile à mettre au point pour s'adapter à n'importe quel environnement.

Nous en sommes aux tests béta et à la rédaction d'un document de "Controle Qualité" confidentiel destiné aux organismes de certification en vue de la qualification de notre solution multi-système et multi-logiciel de caisse.

Comme déjà signalé, La BBox-NF525 peut aussi servir de système de détection d'intrusion au sens large et pas uniquement pour la finalité de la loi.

Nous avons actuellement procédé aux tests sur les environnements suivant:
Windows XP avec PHP 5.3 & PHP 5.4 ;
Windows 7 avec PHP 5.6 & PHP 7.0;
Windows 10 avec PHP 5.6 & PHP 7.1;
CentOS 6 avec cPanel et PHP 5.3, 5.4, 5.5, 5.6 & PHP 7.1, 7.2;
Debian avec apache + iMSCP & Nginx avec PHP 5.6 & PHP 7.1.

Actuellement, les tests se font principalement avec Joomla mais nous avons des installations wordpress, dolibar, vtiger, oscommerce et Windows NT 2003 server avec IIS 6.0 en cours.
La détection de Plesk est aussi programmée mais pas encore testée.

Au niveau spécifique Hikashop, nous avons des tests à partir de Hikashop version 2.3 mais on peut encore aller plus en arrière.

Pour virtuemart, on commence avec la version 1.0.15 et Joomla 1.0 (oui 1.0)

Sont également défini pour joomla, et doivent encore subir des tests approfondi, les extensions suivantes:
- Akeeba Subscription
- CrowdFunding
- EasySocial
- ezrealty
- FlippingBook
- Hika* (hikashop, hika subscription, hikamarket, ...) géré directement par Nicolas.
- hikainvoices géré par moi-même
- jCenter
- JoomLoc
- JomRes
- JoomShopping
- MijoShop
- osProperty
- PaidSystem
- SOBIPro
- VikBooking
- VirtueAffiliate
- VirtueMart
- VMVendor

Les auteurs des extensions qui voudraient gérer directement leurs règles de mise en conformité, peuvent prendre contact avec moi par email sur info(at)bbox-nf525.fr ou via la page de contact www.bbox-nf525.fr/contact.html pour avoir un accès direct à leur fichier de configuration spécifique pour la mise en place de leurs "firmware".
La définition du firmware est très simple et est basée sur un fichier "xml" avec des règles de bases.

Pour des règles plus complexe, il faut avoir recours à notre language spécifique seulement disponible dans le Web Service pour les installations personnalisées.


Actuellement, sous Linux & apache, la BBox-NF525 installe avec succès :
- les processus d'accès sécurisé pour DNS Dynamique,
- Les processus de backup crypté et externalisé avec check-sum pour une durée de 6 ans
- Un mécanise de détection d'intrusion autonome simple est également installé
- Les scripts contre les altérations des sources et contenu base de données sont égalements installé avec "auto-détection", mécanise de controle des voisins pour détecter les altérations mais aussi la détection d'instrusion simple qui pourrait contenir des "overwrites" qui changerait les logiciels de caisse.
- Est en cours de test le mécanise de "ronde de police aléatoire" externe permettant de garantir l'inaltérabilité puisque cela serait mis en place par un service optionel qui ferait que notre société pourrait jouer le rôle de "Certification Authority".
- Nous avons également en cours de développement le "sonar" qui a pour but de détecter les overwrites dissimulés dans des sources tierces qui resulterait par la perte de conformité.

Sous Linux & Nginx, il manque encore la deuxième couche de sécurité via des scripts pour permettre l'accès via des adresses IP dynamiques.
Même quand la deuxième couche de sécurité d'accès à la BBox-NF525 n'est pas là, la BBox-NF525 dispose déjà de mécanisme d'évasion pour se rendre non accessible aux personnes non autorisées.

La solution globale est crypté à plusieurs niveaux et le code de la BBox est aussi codé de telle manière à empêcher son altération.
L'installation peut aussi se faire sur des sites non sécurisé (http) parce que la couche de communication entre la BBox-NF525 et le Web Service se fait avec un cryptage multi-niveau aléatoire et multi-canaux inspéré de la communication entre les avions Awacs et leurs centre de commandement.
L'accès au Web Service qui permet de controller la BBox-NF525 est sécurisé par une tripple authentification. Son accès n'est possible qu'à partir de la BBox-NF525.

J'espère que cela répond à ta question.

Oui, tout à fait.
Merci Edwin.

Bonjour

Suite à la conférence que j'ai donné sur ce sujet lors du joomladay à Paris, plusieurs JUGs m'ont demandé de refaire cette présentation "live"

www.joomla.fr/evenements/vente-en-ligne-...n-projet-open-source

Vous pouvez y participer en groupe en contactant votre JUG, ou live depuis votre canapé via youtube

A la fin de la présentation, vous aurez la possibilité de poser toutes les questions que vous aurez sur ce sujet

Bonjour,

Je réponds bien tardivement, merci à jms2win pour ces points précis !

@alatak, merci de proposer de nouveau cette conférence. Pour moi la solution via youtube serait extrêmement pratique, allez vous ajouter un lien dans l'après-midi ? Comment cela doit-il se passer ?

Merci !

C'est bon j'ai trouvé directement sur youtube !

ok, super.
Pour ceux qui veulent savoir plus
alatak.net/blog/186-loi-de-finances-2018...iels-de-caisses.html

et la video
www.youtube.com/watch?v=KSNwIGIWW4E

Bonjour,
Contrairement à ce que j'avais cru comprendre, il semblerait que gérer les commandes avec Hikashop et générer les factures avec un logiciel conforme suffirait !
C'est ce qu'explique Prestashop pour leur prochain module de certification :
"Ne sont pas concernés par les nouvelles dispositions entrées en vigueur le 1er janvier 2018 :
Les personnes non assujetties à la TVA, notamment les autoentrepreneurs,
Les personnes qui n’éditent pas de factures avec le logiciel PrestaShop (ex. : les commandes de votre boutique sont gérées par PrestaShop mais les factures sont générées par un autre logiciel de type ERP),
Les marchands qui ne font que du BtoB."
https://www.prestashop.com/fr/blog/module-de-certification-article88

Je pensais que cette façon de procéder n'était pas valable vu que les commandes ainsi que les paiements dans le logiciel e-commerce font partie du processus d'encaissement !!!

@romain24 Il faut rester très prudent sur cette phrase.

En effet, Valerie (Alatak) a bien expliqué cela dans sa présentation.

Pour faire court, la loi a pour but de lutter contre la fraude à la TVA.
Le fait générateur de la TVA n'est PAS la facture.
C'est le paiement qui est le fait générateur.
Ca veut dire que dès qu'un paiement est reçu, on est redevable de la TVA auprès de l'état. (Qu'il y ait ou non facture).

C'est pour cela que Valerie a bien expliqué qu'externaliser les traitements des factures à l'extérieur du logiciel qui a traité la commande n'est pas conforme à la loi.
Les PSP (Paiement Service Provider) comme PayPal ne peuvent pas non plus se substituer à cela.

En conséquence, soyez donc très prudent si vous optez pour ce genre d'architecture et je vous recommande de demander conseil auprès de votre avocat avant de l'adopter.

Je profite aussi de ce post pour vous informer que le développement de la BBox-NF525 progresse.
Parmis les points décrits par Prestashop, il y a celui des accès directes à la BD qui ne semblent pas être protégé comme cela est le cas avec notre BBox-NF525.
Actuellement, nous sommes en finalisation d'un langage d'intelligence articificelle que nous avons créé pour générer automatiquement le code nécessaire en fonction de l'environement et des logiciels installés.
De cette manière, on ne dit pas simplement que l'on ne peut pas faire quelque chose mais on le vérifie pour rendre les choses effective.
C'est le cas entre autre des accès direct à la BD qui sont également protégé et que l'on est aussi capable de détecter les mises à jour des sources protégées.

Ce système intelligent agit plus ou moins comme un juge qui se base sur des faits et la recherche des causes à effets pour prendre ses décisions.
Les faits sont par exemple des noms de tables en base de données et les causes à effets sont par exemple les relations que l'on peut découvrir entre les tables.
C'est le cas par exemple d'un entête de commande qui se trouve dans une table avec une relation vers une ou plusieurs autres tables contenant les lignes de commandes, historiques, ....
D'autres faits sont également des contraintes associées à ces tables comme par exemple l'interdiction de faire des MAJ et des suppressions.
Lorsque le système a découvert l'environement et a procédé à son analyse, il peut ensuite tirer des conclusions sur les actions et les codes source à générer pour vérouiller l'environement.
C'est ce qui fait l'originalité de la BBox-NF525 et lui permet de s'adapter à n'importe quel environement et lui permet de controler les contraintes telles que l'inaltérabilité imposée par la Loi.

PS: Nous avons toujours besoins de beta tester ayant de très bonnes connaissances systèmes et en sécurité pour "secouer le cocotier".
Donc n'hésitez par à prendre contact via la page contact de bbox-nf525.fr ou par email à info(at)bbox-nf525.fr

Bonjour,

Dans le dernier Bulletin Officiel des Finances Publiques on peut lire une bonne nouvelle (article n° 35) :

un gérant d'un site de e-commerce sur lequel il effectue des ventes de biens à des particuliers et qui propose exclusivement comme mode de paiement la carte bancaire ou le virement via un établissement bancaire auprès duquel l’administration peut exercer son droit de communication et obtenir des informations, est dispensé, par tolérance administrative de l'obligation de faire certifier son système informatique comme l'impose le 3° bis du I de l'article 286 du CGI.


Il est bien mentionné qu'il s'agit d'une tolérance administrative !

http://bofip.impots.gouv.fr/bofip/10691-PGP.html#10691-PGP_Les_logiciels_de_comptabili_31

Bonjour

Pour faire court, la loi a pour but de lutter contre la fraude à la TVA.
Le fait générateur de la TVA n'est PAS la facture.
C'est le paiement qui est le fait générateur.
Ca veut dire que dès qu'un paiement est reçu, on est redevable de la TVA auprès de l'état. (Qu'il y ait ou non facture).

Oui c'est complètement exact.

(Qu'il y ait ou non facture)

c'est ce point qu'il faut bien comprendre. Car il n'y aucune obligation de fournir une facture à un particulier.

Cependant il y a eu effectivement un coup de theatre la semaine dernière avec la publication du nouveau BOFIP concernant cette loi comme je l'annonçais sur facebook et twitter.. Un nouvel article 35 indique bien une "tolérance administrative" qui s'applique aux sites de ecommerce qui propose des paiements "traçable" ceux où l'administration un moyen de verifier les dits paiements.

C'est une bonne nouvelle.

Je savais qu'il y aurait un nouveau BOFIP qui donnerait des éclaircissements. Je ne m'attendais pas par contre à ce coup de theatre

Oui c'est bien d'avoir cette tolérence administrative mais je crois que c'est temporaire pour laisser plus de temps à des solutions de se mettre en place.

Personnellement, cela ne change rien à notre développement qui s'adresse à tous les CMS ou pas et même au développements spécifiques.