Private business:Guide Entreprises et Éditeurs GEMME

From documentation SEPAmail
Revision as of 14:24, 19 September 2014 by Herve.Robache (talk | contribs)
(diff) ← Older revision | Latest revision (diff) | Newer revision → (diff)
Jump to navigation Jump to search


Sommaire

Présentation

Connecteur

Les formats

Les services

Statut de ce document discussion

Ce guide spécifie les méthodes d'accès possibles à la messagerie bancaire sécurisée SEPAmail pour une entreprise, en particulier pour les applications constituant son système d'information.
Ce guide est en statut discussion.

Présentation de SEPAmail

SEPAmail est un service de messagerie sécurisée pour l'ensemble des entités économiques européennes. Il utilise des flux XML sécurisés avec le BIC et l’IBAN (ou un alias) comme identifiant de référence. Il est possible de joindre un document à ces flux, notamment un fichier PDF. En valorisant Internet et les normes du W3C, le réseau SEPAmail permet, à coût réduit, la réalisation d’échanges complexes entre les clients des banques à un niveau mondial. Ce réseau interbancaire est une contribution de l’industrie bancaire à l’agenda de Lisbonne et Europe 2020 en facilitant les échanges dématérialisés entre les entités économiques.

Généralités sur SEPAmail

SEPAmail présente les caractéristiques suivantes :

  • des adresses SEPAmail IBAN@BIC : les adresses des entités économiques sont fondées sur le gabarit IBAN@BIC, stable dans les relations bancaires avec les entités économiques. Le référencement des comptes européens se normalise autour de l'IBAN et du BIC.
  • une identification et une authentification à la charge de la banque possédant le BIC. Cela permet pour cette banque de valoriser les technologies bancaires d'identification de ses clients, en se servant de la confiance et de la sécurité apportées par les réglementations sur les moyens d'authentification mise en œuvre.
  • une transmission des messages par rebond : les messages sont transmis par rebond, selon le modèle 4 coins, en respectant l'indépendance de chacun des espaces de sécurité et des canaux.
    • émetteur du message vers sa banque (banque de l'émetteur)
    • banque de l'émetteur vers la banque du destinataire (ou récepteur)
    • banque du destinataire vers le destinataire
  • les liens entre les banques reposent sur Internet (réseau IP)
    • capacité de transport low-cost
    • capacité de backup
    • valorisation des DNS (gestion des adresses par routage)
  • les messages entre les banques sont structurés en utilisant systématiquement des normes ISO ou W3C
  • les liens entre la banque et ses clients sont de la responsabilité de la banque dans son offre

Toute entité économique qui :

  • sait envoyer un message électronique de façon sécurisée via un canal défini (mail, web service, Ebics, SwiftNet...),
  • sait structurer ce message selon une norme définie par SEPAmail (norme fondée sur ISO/W3C et définie par des schémas XML),
  • contractualise avec sa banque pour l'acheminement/vérification de ce message,

peut mettre en œuvre une application SEPAmail.
Le message est lu et traité automatiquement ou manuellement par le destinataire via une interface bancaire ou une application mobile ou un client de messagerie, le protocole SEPAmail se chargeant de rendre lisible par un humain le message.


Le logotype représentant la communauté et la norme SEPAmail

Gemme

GEMME (Global European Mandate Management & Exchange) permet l'échange des messages structurés suivants entre un créancier et son débiteur :

  • envoi de mandat de prélèvement (créancier vers débiteur)
  • acceptation de mandat de prélèvement (débiteur vers créancier)
  • révocation de mandat de prélèvement (débiteur vers créancier)
  • demande de copie (débiteur vers créancier)
  • envoi de copie (créancier vers débiteur)
  • notification des échéances (créancier vers débiteur)
  • refus ou acceptation d'échéance (débiteur vers créancier)

Ces différents messages permettent de gérer de façon totalement dématérialisée les flux non comptables liés à la gestion des prélèvements (format national ou SEPA).

Ce document explique comment mettre en œuvre ces messages, que l'on soit du côté créancier ou débiteur.

La missive et le message

L'élément de base pour les échanges d'informations, dans SEPAmail, est la missive. Quelque soit le canal d'échange, et quels que soient l'expéditeur et le destinataire, toutes les informations circulant dans le système sont systématiquement structurées en missives. Il existe trois types de missives, qui seront décrites en détail par la suite :

  • la missive nominale, qui sert d'acheminement à un message
  • la missive d'acquittement, élément essentiellement protocolaire qui permet notamment à l'expéditeur d'être sûr de la réception des informations transmises
  • la missive de service, permettant d'échanger des commandes et des réponses entre des éléments actifs du système, par exemple au sein d'un Web service.

La missive est sécurisée par des mécanismes de signature et de chiffrement. Elle peut être vue comme une enveloppe, dont le contenu peut être quelconque, mais n'est accessible qu'au destinataire.

Dans la plupart des cas, et notamment dans le cas des missives nominales, le contenu d'une missive est un message SEPAmail.

L'ensemble des éléments de SEPAmail, missives et messages, sont des fichiers texte brut, écrits en XML. Tous les éléments sont décrits par des schémas XML précis s'appuyant, dans la mesure du possible, sur la norme ISO 20022.

Les missives sont échangées entre les acteurs du système SEPAmail, par le biais d'un mécanisme d'échange. Trois mécanismes sont actuellement définis et implémentés dans le système :

  • le courrier électronique
  • le web service
  • l'échange de fichiers.

Les messages transportent l'information « métier » liée à une application dans SEPAmail. Ils sont regroupés par famille de messages, appelée écosystème, dont quatre existent actuellement :

  • test, tous les messages de test, sans contenu effectif,
  • direct.debit[1], tous les messages concernant les prélèvements (nationaux ou SEPA), liés à l'application GEMME,
  • payment.activation[2], tous les messages concernant les demandes et acceptations de règlement, liés à l'application RUBIS,
  • secure[3], tous les messages d'échange de contenus sécurisés, notamment les certificats.

Comment se connecter à SEPAmail ?

Pour se connecter à SEPAmail, il faut tout d'abord contractualiser avec sa banque. En effet, tout l'intérêt de SEPAmail est de proposer un circuit sécurisé pour des échanges avec vos interlocuteurs et ce circuit passe par votre banque et celle de votre interlocuteur.

Les formats utilisés par SEPAmail sont libres d'utilisation et il serait possible d'imaginer mettre en œuvre ces échanges sans passer par le réseau bancaire. Cependant, l'échange perdrait beaucoup de son intérêt puisqu'il ne serait plus sécurisé par les trois espaces de confiance bancaires.

pas de sécurité sans SEPAmail
pas de sécurité sans SEPAmail
Avec SEPAmail, trois espaces de confiance sont mis en œuvre
Avec SEPAmail, trois espaces de confiance sont mis en œuvre

Plusieurs connecteurs existent :

  • la connexion par mail sur le serveur SEPAmail SMILE de la banque de l'entreprise,
  • la connexion par web-service sur le serveur SEPAmail SMILE de la banque de l'entreprise,
  • la connexion via eBICS par le canal usuel,
  • la connexion via SwiftNet par le canal usuel,
  • la connexion par des applications développées par des tiers autour de la norme SEPAmail

Ce document détaille comment mettre en œuvre ces connexions.

Connexion au serveur SEPAmail SMILE via un web-service

La connexion au serveur SEPAmail de la banque de l'entreprise se fait au moyen de web-services configurables avec :

  • une URL fournie par la banque de l'entreprise,
  • le protocole HTTPS,
  • un échange de certificat, selon la méthode définie avec la banque de l'entreprise.

Le flux doit être des missives SEPAmail au format XML encodé en MTOM[4] ou base64[5].

Connexion au serveur SEPAmail SMILE via le courriel

La connexion au serveur SEPAmail de la banque de l'entreprise se fait aussi par courriel avec :

  • une adresse de courriel de destination fournie par la banque de l'entreprise, dépendant de l’écosystème SEPAmail utilisé du type ecosystem@bic.sepamail.eu,
  • une adresse de courriel expéditeur pour l'entreprise, dédiée à chacun des écosystèmes,
  • le protocole SMTP S/MIME,
  • un échange de certificat, selon la méthode définie avec la banque de l'entreprise.

Le flux doit alors être une missive SEPAmail au format XML valide, encapsulée dans une enveloppe SMTP/S-MIME avec deux parties :

  • la missive encryptée
  • une signature détachée non englobante de la missive chiffrée

et un entête comportant des balises from, to et X-Priority en sus des balises S-MIME

Connexion SwiftNet

Le serveur SEPAmail peut échanger avec une plateforme SwiftNet suivant différentes méthodes en fonction de la mise en œuvre souhaitée par la banque offrant ce service. Si l'entreprise utilise ce réseau, il faut initier un projet de mise en œuvre avec la banque de l'entreprise.

La règle de nommage des fichiers est la même que pour une connexion EBICS.

Connexion EBICS

L'échange via EBICS se fait selon le procédé usuel utilisé entre l'entreprise et chacune de ses banques. Il doit pouvoir être réalisé dans les deux sens (de la banque vers son client et de son client vers la banque).

SEPAmail et EBICS proposent tous les deux des services de signature et de chiffrement. Aussi EBICS peut ne servir qu'au transport de l'information, mais l'entreprise peut également mettre en œuvre les autres possibilités d'EBICS : signature, chiffrement, compression...

L'entreprise doit apporter un soin particulier, selon le format utilisé, à valider : l'intégrité du fichier généré par l'application de l'entreprise (outil en ligne proposé par SEPAmail[6]), le nom utilisé pour le fichier spécifique téléchargé ou téléversé.

L'échange porte, en France, sur un ordre de type FUL ou FDL (OrderType FUL/FDL) associé à un format spécifique à sepamail (FileFormat) selon les spécifications EBICS/CFONB suivantes (annexe Order type[7]) :

  • code zone : pain
  • code syntaxe et format : xxx.sepamail suivi d'un code SEPAmail par message ou missive spécifique à la norme EBICS, par exemple :
  • xxx.sepamail_dd_mir pour une requête de mandat GEMME
  • code description optionnel : non utilisé actuellement dans le cadre de sepamail car ce code est géré par le CFONB et ne décrit pas toutes les possibilités des applications métier SEPAmail.

On trouve la liste des messages et le nom du fichier correspondant en annexe[8].

Le serveur SEPAmail de votre banque se charge de récupérer et de déposer les fichier au format SEPAmail sur votre prise EBICS.

Remarque : le format allemand EBICS suppose pour ces opérations des fonctions différentes. Ce document ne décrit que les échanges EBICS selon la norme édictée par le CFONB.

Remarque : le code format SEPAmail du nom de fichier a été généré spécifiquement par SEPAmail pour la compatibilité EBICS et CFONB. C'est un code (xs:token) valide n'utilisant pas le délimiteur point [.] car celui-ci est utilisé et nécessaire pour les vérifications sur le nom préconisées par le CFONB.

Connexion via des applications développées par des tiers autour de la norme SEPAmail

Des plates-formes logicielles ont été développées par des tiers autour de la norme SEPAmail. Ce sont elles qui se connectent directement au système d'information de l'entreprise et s'occupent d'envoyer et de recevoir l'information sur le réseau SEPAmail. Elles transmettent ensuite selon des spécifications personnalisables pour chaque entreprise le retour d'information directement dans le système d'information de l'entreprise.

Toutes les applications tierces conformes à la norme SEPAmail sont référencées régulièrement.

Les formats

Le format XML

Les formats XML sont spécifiés via des schémas consultables librement sur l’espace dédié de SEPAmail[9].

On y trouve les formats génériques d'une missive, d'un message et les spécifications de tous les messages nécessaires au fonctionnement de GEMME.

On trouve ci-dessous, pour chacun des messages GEMME, le format associé ainsi qu'une description rapide de la nature du message. La colonne Pub. indique si le schéma est publié, donc en accès public.

Chacun de ces messages doit être inclus dans une missive.

messages SEPAmail (GEMME)
Application Message écosystème Description Pub
GEMME MandateAcceptanceReport direct.debit acceptation et révocation de mandat de prélèvement (débiteur vers créancier) X
GEMME MandateInitiationRequest direct.debit envoi de mandat de prélèvement (créancier vers débiteur) X
GEMME Prenotification direct.debit notification des échéances ( créancier vers débiteur) X
GEMME RequestForCopy direct.debit demande de copie (débiteur vers créancier) X
GEMME Prenotification direct.debit acceptation ou refus d'échéance (débiteur vers créancier) X

Le format PDF

Le format PDF utilisé est actuellement le PDF/A-1a. (norme ISO-19005-1[10]). L'implémentation du format PDF/A-2a est en cours (la norme a été publiée le 1/07/2011).

Ce format permet l'archivage à long terme des documents dématérialisés et notamment :

  • la restitution fidèle de l'apparence du document
  • la restitution inter-opérable des données contenues dans le document (dont les métadonnées)
  • la possibilité de signer le document et de ne plus le modifier suite à la signature

Ce format est une sous-famille du format PDF/X et utilise pour les métadonnées le format XMP (en dehors de l'objet DocumentInfo).

Pour que ce document puisse être interprété comme un message SEPAmail, il doit inclure le message XML SEPAmail en son sein en tant que métadonnées.

L'encodage de ces métadonnées est l'UTF-8[11], le format XMP[12].

Voici les champs que SEPAmail interprète au sein d'un fichier PDF/A-1 :

les métadonnées XMP SEPAmail du fichier PDF/A
metadonnées type description obligatoire
xmp:sepamail_missive XML valide contient une missive SEPAmail, pouvant, s'il s'agit d'une missive nominale, contenir un message SEPAmail quelconque.

Dans tous les cas, les schémas XML doivent être respectés

OUI
xmp:sepamail_document.signed Boolean contient false (valeur par défaut) ou true selon que la signature doit être prise en compte par SEPAmail
Remarque : le document doit alors être signé selon une norme reconnue par l'entreprise et sa banque.
NON
xmp:sepamail_document.generator String(100) contient une chaine de caractères liée au logiciel émetteur du document NON

L'entreprise peut utiliser toute autre métadonnée nécessaire à son archivage de document ou à ses fonctions de recherche, mais ne doit pas utiliser l'espace de nom SEPAmail pour d'autres fins que le informations ci-dessus.

Les services

SEPAMAIL donne accès aux entreprises à différents services :

Chaque service est indépendant des autres.

Références

Versions du guide à télécharger

Other languages: