Private business:Guide Entreprises et Éditeurs GEMME
Statut de ce document discussion
Ce guide spécifie les méthodes d'accès possibles à la messagerie bancaire sécurisée SEPAmail pour une entreprise, en particulier pour les applications constituant son système d'information.
Ce guide est en statut discussion.
Présentation de SEPAmail
SEPAmail est un service de messagerie sécurisée pour l'ensemble des entités économiques européennes. Il utilise des flux XML sécurisés avec le BIC et l’IBAN (ou un alias) comme identifiant de référence. Il est possible de joindre un document à ces flux, notamment un fichier PDF. En valorisant Internet et les normes du W3C, le réseau SEPAmail permet, à coût réduit, la réalisation d’échanges complexes entre les clients des banques à un niveau mondial. Ce réseau interbancaire est une contribution de l’industrie bancaire à l’agenda de Lisbonne et Europe 2020 en facilitant les échanges dématérialisés entre les entités économiques.
Généralités sur SEPAmail
SEPAmail présente les caractéristiques suivantes :
- des adresses SEPAmail IBAN@BIC : les adresses des entités économiques sont fondées sur le gabarit IBAN@BIC, stable dans les relations bancaires avec les entités économiques. Le référencement des comptes européens se normalise autour de l'IBAN et du BIC.
- une identification et une authentification à la charge de la banque possédant le BIC. Cela permet pour cette banque de valoriser les technologies bancaires d'identification de ses clients, en se servant de la confiance et de la sécurité apportées par les réglementations sur les moyens d'authentification mise en œuvre.
- une transmission des messages par rebond : les messages sont transmis par rebond, selon le modèle 4 coins, en respectant l'indépendance de chacun des espaces de sécurité et des canaux.
- émetteur du message vers sa banque (banque de l'émetteur)
- banque de l'émetteur vers la banque du destinataire (ou récepteur)
- banque du destinataire vers le destinataire
- les liens entre les banques reposent sur Internet (réseau IP)
- capacité de transport low-cost
- capacité de backup
- valorisation des DNS (gestion des adresses par routage)
- les messages entre les banques sont structurés en utilisant systématiquement des normes ISO ou W3C
- les liens entre la banque et ses clients sont de la responsabilité de la banque dans son offre
Toute entité économique qui :
- sait envoyer un message électronique de façon sécurisée via un canal défini (mail, web service, Ebics, SwiftNet...),
- sait structurer ce message selon une norme définie par SEPAmail (norme fondée sur ISO/W3C et définie par des schémas XML),
- contractualise avec sa banque pour l'acheminement/vérification de ce message,
peut mettre en œuvre une application SEPAmail.
Le message est lu et traité automatiquement ou manuellement par le destinataire via une interface bancaire ou une application mobile ou un client de messagerie, le protocole SEPAmail se chargeant de rendre lisible par un humain le message.
Gemme
GEMME (Global European Mandate Management & Exchange) permet l'échange des messages structurés suivants entre un créancier et son débiteur :
- envoi de mandat de prélèvement (créancier vers débiteur)
- acceptation de mandat de prélèvement (débiteur vers créancier)
- révocation de mandat de prélèvement (débiteur vers créancier)
- demande de copie (débiteur vers créancier)
- envoi de copie (créancier vers débiteur)
- notification des échéances (créancier vers débiteur)
- refus ou acceptation d'échéance (débiteur vers créancier)
Ces différents messages permettent de gérer de façon totalement dématérialisée les flux non comptables liés à la gestion des prélèvements (format national ou SEPA).
Ce document explique comment mettre en œuvre ces messages, que l'on soit du côté créancier ou débiteur.
La missive et le message
L'élément de base pour les échanges d'informations, dans SEPAmail, est la missive. Quelque soit le canal d'échange, et quels que soient l'expéditeur et le destinataire, toutes les informations circulant dans le système sont systématiquement structurées en missives. Il existe trois types de missives, qui seront décrites en détail par la suite :
- la missive nominale, qui sert d'acheminement à un message
- la missive d'acquittement, élément essentiellement protocolaire qui permet notamment à l'expéditeur d'être sûr de la réception des informations transmises
- la missive de service, permettant d'échanger des commandes et des réponses entre des éléments actifs du système, par exemple au sein d'un Web service.
La missive est sécurisée par des mécanismes de signature et de chiffrement. Elle peut être vue comme une enveloppe, dont le contenu peut être quelconque, mais n'est accessible qu'au destinataire.
Dans la plupart des cas, et notamment dans le cas des missives nominales, le contenu d'une missive est un message SEPAmail.
L'ensemble des éléments de SEPAmail, missives et messages, sont des fichiers texte brut, écrits en XML. Tous les éléments sont décrits par des schémas XML précis s'appuyant, dans la mesure du possible, sur la norme ISO 20022.
Les missives sont échangées entre les acteurs du système SEPAmail, par le biais d'un mécanisme d'échange. Trois mécanismes sont actuellement définis et implémentés dans le système :
- le courrier électronique
- le web service
- l'échange de fichiers.
Les messages transportent l'information « métier » liée à une application dans SEPAmail. Ils sont regroupés par famille de messages, appelée écosystème, dont quatre existent actuellement :
- test, tous les messages de test, sans contenu effectif,
- direct.debit[1], tous les messages concernant les prélèvements (nationaux ou SEPA), liés à l'application GEMME,
- payment.activation[2], tous les messages concernant les demandes et acceptations de règlement, liés à l'application RUBIS,
- secure[3], tous les messages d'échange de contenus sécurisés, notamment les certificats.
Comment se connecter à SEPAmail ?
Pour se connecter à SEPAmail, il faut tout d'abord contractualiser avec sa banque. En effet, tout l'intérêt de SEPAmail est de proposer un circuit sécurisé pour des échanges avec vos interlocuteurs et ce circuit passe par votre banque et celle de votre interlocuteur.
Les formats utilisés par SEPAmail sont libres d'utilisation et il serait possible d'imaginer mettre en œuvre ces échanges sans passer par le réseau bancaire. Cependant, l'échange perdrait beaucoup de son intérêt puisqu'il ne serait plus sécurisé par les trois espaces de confiance bancaires.
Plusieurs connecteurs existent :
- la connexion par mail sur le serveur SEPAmail SMILE de la banque de l'entreprise,
- la connexion par web-service sur le serveur SEPAmail SMILE de la banque de l'entreprise,
- la connexion via eBICS par le canal usuel,
- la connexion via SwiftNet par le canal usuel,
- la connexion par des applications développées par des tiers autour de la norme SEPAmail
Ce document détaille comment mettre en œuvre ces connexions.
Connexion au serveur SEPAmail SMILE via un web-service
La connexion au serveur SEPAmail de la banque de l'entreprise se fait au moyen de web-services configurables avec :
- une URL fournie par la banque de l'entreprise,
- le protocole HTTPS,
- un échange de certificat, selon la méthode définie avec la banque de l'entreprise.
Le flux doit être des missives SEPAmail au format XML encodé en MTOM[4] ou base64[5].
Connexion au serveur SEPAmail SMILE via le courriel
La connexion au serveur SEPAmail de la banque de l'entreprise se fait aussi par courriel avec :
- une adresse de courriel de destination fournie par la banque de l'entreprise, dépendant de l’écosystème SEPAmail utilisé du type ecosystem@bic.sepamail.eu,
- une adresse de courriel expéditeur pour l'entreprise, dédiée à chacun des écosystèmes,
- le protocole SMTP S/MIME,
- un échange de certificat, selon la méthode définie avec la banque de l'entreprise.
Le flux doit alors être une missive SEPAmail au format XML valide, encapsulée dans une enveloppe SMTP/S-MIME avec deux parties :
- la missive encryptée
- une signature détachée non englobante de la missive chiffrée
et un entête comportant des balises from, to et X-Priority en sus des balises S-MIME
Connexion SwiftNet
Le serveur SEPAmail peut échanger avec une plateforme SwiftNet suivant différentes méthodes en fonction de la mise en œuvre souhaitée par la banque offrant ce service. Si l'entreprise utilise ce réseau, il faut initier un projet de mise en œuvre avec la banque de l'entreprise.
La règle de nommage des fichiers est la même que pour une connexion EBICS.
Connexion EBICS
L'échange via EBICS se fait selon le procédé usuel utilisé entre l'entreprise et chacune de ses banques. Il doit pouvoir être réalisé dans les deux sens (de la banque vers son client et de son client vers la banque).
SEPAmail et EBICS proposent tous les deux des services de signature et de chiffrement. Aussi EBICS peut ne servir qu'au transport de l'information, mais l'entreprise peut également mettre en œuvre les autres possibilités d'EBICS : signature, chiffrement, compression...
L'entreprise doit apporter un soin particulier, selon le format utilisé, à valider : l'intégrité du fichier généré par l'application de l'entreprise (outil en ligne proposé par SEPAmail[6]), le nom utilisé pour le fichier spécifique téléchargé ou téléversé.
L'échange porte, en France, sur un ordre de type FUL ou FDL (OrderType FUL/FDL) associé à un format spécifique à sepamail (FileFormat) selon les spécifications EBICS/CFONB suivantes (annexe Order type[7]) :
- code zone : pain
- code syntaxe et format : xxx.sepamail suivi d'un code SEPAmail par message ou missive spécifique à la norme EBICS, par exemple :
- xxx.sepamail_dd_mir pour une requête de mandat GEMME
- code description optionnel : non utilisé actuellement dans le cadre de sepamail car ce code est géré par le CFONB et ne décrit pas toutes les possibilités des applications métier SEPAmail.
On trouve la liste des messages et le nom du fichier correspondant en annexe[8].
Le serveur SEPAmail de votre banque se charge de récupérer et de déposer les fichier au format SEPAmail sur votre prise EBICS.
Remarque : le format allemand EBICS suppose pour ces opérations des fonctions différentes. Ce document ne décrit que les échanges EBICS selon la norme édictée par le CFONB.
Remarque : le code format SEPAmail du nom de fichier a été généré spécifiquement par SEPAmail pour la compatibilité EBICS et CFONB. C'est un code (xs:token) valide n'utilisant pas le délimiteur point [.] car celui-ci est utilisé et nécessaire pour les vérifications sur le nom préconisées par le CFONB.
Connexion via des applications développées par des tiers autour de la norme SEPAmail
Des plates-formes logicielles ont été développées par des tiers autour de la norme SEPAmail. Ce sont elles qui se connectent directement au système d'information de l'entreprise et s'occupent d'envoyer et de recevoir l'information sur le réseau SEPAmail. Elles transmettent ensuite selon des spécifications personnalisables pour chaque entreprise le retour d'information directement dans le système d'information de l'entreprise.
Toutes les applications tierces conformes à la norme SEPAmail sont référencées régulièrement.
Les formats
Le format XML
Les formats XML sont spécifiés via des schémas consultables librement sur l’espace dédié de SEPAmail[9].
On y trouve les formats génériques d'une missive, d'un message et les spécifications de tous les messages nécessaires au fonctionnement de GEMME.
On trouve ci-dessous, pour chacun des messages GEMME, le format associé ainsi qu'une description rapide de la nature du message. La colonne Pub. indique si le schéma est publié, donc en accès public.
Chacun de ces messages doit être inclus dans une missive.
Application | Message | écosystème | Description | Pub |
---|---|---|---|---|
GEMME | MandateAcceptanceReport | direct.debit | acceptation et révocation de mandat de prélèvement (débiteur vers créancier) | X |
GEMME | MandateInitiationRequest | direct.debit | envoi de mandat de prélèvement (créancier vers débiteur) | X |
GEMME | Prenotification | direct.debit | notification des échéances ( créancier vers débiteur) | X |
GEMME | RequestForCopy | direct.debit | demande de copie (débiteur vers créancier) | X |
GEMME | Prenotification | direct.debit | acceptation ou refus d'échéance (débiteur vers créancier) | X |
Le format PDF
Le format PDF utilisé est actuellement le PDF/A-1a. (norme ISO-19005-1[10]). L'implémentation du format PDF/A-2a est en cours (la norme a été publiée le 1/07/2011).
Ce format permet l'archivage à long terme des documents dématérialisés et notamment :
- la restitution fidèle de l'apparence du document
- la restitution inter-opérable des données contenues dans le document (dont les métadonnées)
- la possibilité de signer le document et de ne plus le modifier suite à la signature
Ce format est une sous-famille du format PDF/X et utilise pour les métadonnées le format XMP (en dehors de l'objet DocumentInfo).
Pour que ce document puisse être interprété comme un message SEPAmail, il doit inclure le message XML SEPAmail en son sein en tant que métadonnées.
L'encodage de ces métadonnées est l'UTF-8[11], le format XMP[12].
Voici les champs que SEPAmail interprète au sein d'un fichier PDF/A-1 :
metadonnées | type | description | obligatoire |
---|---|---|---|
xmp:sepamail_missive | XML valide | contient une missive SEPAmail, pouvant, s'il s'agit d'une missive nominale, contenir un message SEPAmail quelconque. Dans tous les cas, les schémas XML doivent être respectés |
OUI |
xmp:sepamail_document.signed | Boolean | contient false (valeur par défaut) ou true selon que la signature doit être prise en compte par SEPAmail Remarque : le document doit alors être signé selon une norme reconnue par l'entreprise et sa banque. |
NON |
xmp:sepamail_document.generator | String(100) | contient une chaine de caractères liée au logiciel émetteur du document | NON |
L'entreprise peut utiliser toute autre métadonnée nécessaire à son archivage de document ou à ses fonctions de recherche, mais ne doit pas utiliser l'espace de nom SEPAmail pour d'autres fins que le informations ci-dessus.
Les services
SEPAMAIL donne accès aux entreprises à différents services :
- le service GEMME créancier, qui permet d'envoyer des demandes de mandats SEPA Direct Debit ou d'autorisations de prélèvement,
- le service GEMME débiteur, qui permet de valider ces mandats ou autorisations de prélèvement.
Chaque service est indépendant des autres.
Références
- ↑ http://documentation.sepamail.eu/wiki/Standards:IG_direct.debit
- ↑ http://documentation.sepamail.eu/wiki/Standards:IG_payment.activation
- ↑ http://documentation.sepamail.eu/wiki/Standards:IG_secure
- ↑ http://fr.wikipedia.org/wiki/Message_Transmission_Optimization_Mechanism
- ↑ http://fr.wikipedia.org/wiki/Base64
- ↑ http://validator.sepamail.eu en cours de réalisation
- ↑ http://www.cfonb.org/Web/cfonb/cfonbmain.nsf/DocumentsByIDWeb/7KUEQA/$File/EBICS_Annex2_OrderTypes-File_Formats_01_11_2010.pdf
- ↑ http://documentation.sepamail.eu/wiki/Private business:Annexe liste des noms de fichiers EBICS
- ↑ http://xsd.sepamail.eu/1206/
- ↑ http://fr.wikipedia.org/wiki/ISO_19005-1
- ↑ http://fr.wikipedia.org/wiki/UTF-8
- ↑ http://fr.wikipedia.org/wiki/Extensible_Metadata_Platform
Versions du guide à télécharger
- la version 1204 du 1er avril 2012
- la dernière version à charger comme un livre dans la documentation