01 Fév Prudence avec les API ou solutions qui prétendent se conformer à VERI*FACTU
Actuellement, lors de divers audits en cours, nous sommes consultés par plus de 120 sociétés de développement, reconnues comme leaders dans le domaine, à propos de solutions promouvant des API ou similaires pour la mise en œuvre de la réglementation anti-fraude ou VERI*FACTU, suggérant leur acquisition avec la promesse que ces API sont conformes à la législation.
Étant donné que la réglementation anti-fraude est suffisamment large pour soulever plusieurs questions qui doivent être exigées de ces fournisseurs, il est important d’inclure certains aspects que, en tant que sociétés développant des solutions de facturation, ne devraient pas négliger lors de l’embauche d’une plateforme API ou similaire.
Lors de l’évaluation de ces plateformes en tant qu’options, gardez à l’esprit les conseils suivants :
À l’heure actuelle, il n’existe aucune plateforme qui se conforme entièrement à la réglementation anti-fraude.
Cela est dû au fait que de nombreuses plateformes s’engagent à se conformer à VERIFACTU; cependant, la réglementation anti-fraude comprend 4 sections supplémentaires au-delà du règlement, qui se rapportent à la facturation, la comptabilité et les processus de gestion. Ces exigences dépassent ce qui est établi dans VERIFACTU, RD1619/2012, et d’autres.
Conseil : Une plateforme API seule ne garantit pas la conformité à 100% avec la réglementation anti-fraude ; il est également nécessaire de se conformer au reste du cadre légal.
Certificat de conformité VERI*FACTU
Si le logiciel est installé chez 100 clients, notre calculatrice de sanctions estime une amende d’environ 1,2 million d’euros pour non-conformité pendant la première année pour la société de développement. Allez-vous laisser la possibilité de faire face à cette amende entre les mains d’un tiers ?
Conseil : Exigez par écrit un rapport d’un auditeur indépendant qui certifie clairement la conformité avec VERI*FACTU, avec des preuves qui assurent son fonctionnement.
Les plateformes API doivent gérer et protéger tous les enregistrements XML pendant la période obligatoire
La gestion adéquate des fichiers XML pendant le temps que le contribuable est tenu de les conserver est cruciale. Les entreprises API doivent assurer leur intégrité et leur conservation, ainsi que leur chaîne de garde et de rétention pendant cette période.
Conseil : Demandez un rapport d’évaluation d’un auditeur indépendant qui démontre avec des preuves les contrôles de sécurité appropriés.
Communication basée sur la certification électronique
Si le système API gère des certificats et des clés pour faciliter la communication des factures via VERI*FACTU, ce service doit se conformer à eIDAS et LSEC. Un système qui gère des certificats et des clés doit respecter certains niveaux de sécurité, par exemple, s’assurer que les sauvegardes effectuées par le système API, qui contiennent les certificats et les clés du contribuable, sont conservées en sécurité pour prévenir le vol d’identité grave. De plus, la législation exige que les certificats et les clés soient « sous le contrôle exhaustif » du contribuable.
Si, d’autre part, il est proposé que la communication soit effectuée avec le certificat électronique du prestataire de services, il est nécessaire d’exiger la conformité avec le cadre légal applicable.
Conseil : Exigez la conformité légale et un rapport d’une tierce partie indépendante pour le confirmer.
Conclusions
L’utilisation d’API tierces ou de dépôts de certificats externes ne garantit pas, dans aucun des cas que cet auditeur a examinés, la conformité complète avec la réglementation anti-fraude par la société de développement et sa solution, étant également nécessaire de se conformer à d’autres obligations légales au-delà de VERIFACTU. Avant d’embaucher une API qui implémente VERIFACTU, il est essentiel de demander un rapport d’un tiers indépendant qui, à travers des preuves, démontre sa fiabilité ;