Nowadays it should not be necessary to talk about password security. It goes without saying to have a secure password (sufficiently long, with upper, lower case letters, special characters and numbers). Also, changing the password regularly has already become second nature to us. But what about a cash register, how secure does it have to be?
Security through certification or attestation?
This is like the password: what level or security level do I want to use.
In France, cash register systems are secure as soon as they comply with ISCA rules. Compliance with these rules can be difficult in itself and requires the cash register manufacturer, in the software architecture, the processes during software development, in quality management and also in the update process.
Once all these requirements are met, the cash register is compliant, or as they say, it’s safe! The last small step can now be the confirmation by a self-attestation. A simple template which is filled in and handed over to the cashier.
Or the more complex way of certification is chosen. In this case, compliance with the ISCA rules is checked by an independent certification body and a certificate of security is issued at the end. The cash register operator also receives this certificate as proof that the cash register complies with the law.
Staying safe with a certificate or a test?
Here, too, there is a parallel to the password: the older the password, the less secure it becomes.
It is the same with testing! Small changes to the user interface of the cash register or even new features that do not affect the fiscalization are made quickly. The cash register operator gets an update and everyone is happy. But months or weeks or even days later, a deeper change is made to the POS software. For example, a data field for the POS receipt is introduced or the creation of the archives changes. And already the issued confirmation is invalid. Every PosOperator must now receive a new confirmation for the current software, just as you change a password again.
It is similar with the certification. Only here the POS manufacturer is forced to update. Every year he has to put his POS system on the test bench of the certification body again and get a new certificate. This is also made available to the PosOperator. If the PosCreator does not make an annual audit, the POS system will become unsafe after 12 months at the latest. It no longer complies with the law.
One thing is important in both ways: the software and the certificate must be as up-to-date as the password. Because in the event of an audit by the tax authorities, the certificate must be present.
Is the data in a compliant cash register secure?
We also have the next level of cash register security. Just as they can forget their password, it is possible for cash register data to disappear.
The tax authorities require a fiscal archive of cash register data. Every POS manufacturer offers it, otherwise the POS system would not be compliant. But what about the storage? The POS operator dutifully stores the data on the USB stick, there is enough space. Years go by and all of a sudden the USB stick has disappeared and the tax authorities are standing in the door! Now the PosOperator really has a problem, because the data was not stored safely.
And it is even worse if the cash register is surprisingly defective or even stolen. Where is now all the data of the last hours, days, weeks or even months? Gone! Because a backup is usually forgotten in the hectic of daily work. Then it would be good if these data are mirrored on an external storage and ideally automatically and without user intervention.
Simply certify! Simply stay compliant! Simply secure!
We are Simplifying Complexity: Contact usIhr Passwort ist sicher, aber was ist mit Ihrem Kassensystem?
Heutzutage sollte es nicht mehr notwendig sein, über Passwortsicherheit zu sprechen. Es ist selbstverständlich, ein sicheres Passwort (ausreichend lang, mit Groß-, Kleinbuchstaben, Sonderzeichen und Ziffern) zu haben. Auch das regelmäßige Ändern des Passworts ist uns bereits in Fleisch und Blut übergegangen. Aber wie ist das nun mit einer Kasse, wie sicher muss die sein?
Sicherheit durch Zertifizierung oder Attestierung?
Dies ist wie beim Passwort: Welche Ebene oder Sicherheitsstufe möchte ich einsetzen.
In Frankreich sind Kassensysteme sicher sobald diese den ISCA-Regeln entsprechen. Das Einhalten dieser Regeln kann schon an sich schwierig sein und fordert den Kassenhersteller, in der Software-Architektur, den Prozessen während der Softwareentwicklung, im Qualitätsmanagement und auch im Updateprozess.
Sobald all diese Vorgaben erfüllt sind ist die Kasse gesetzeskonform oder wie man auch sage: Sie ist sicher! Der letzte kleine Schritt kann jetzt die Bestätigung durch eine Selbstattestierung sein. Eine einfache Vorlage welche ausgefüllt wird und dem Kassenbetreiber übergeben wird.
Oder es wird der aufwändigere Weg der Zertifizierung gewählt. Hier wird das Einhalten der ISCA-Regeln durch eine unabhängige Zertifizierungsstelle geprüft und am Ende ein Zertifikat über die Sicherheit ausgestellt. Dieses erhält auch der Kassenbetreiber als Beweis der gesetzeskonformen Kasse.
Sicher bleiben mit einem Zertifikat oder einer Testierung?
Auch hier gibt es die Parallele zum Passwort: Je älter das Passwort ist, desto unsicherer wird es.
Auch bei der Testierung ist es so! Kleine Änderungen an der Benutzeroberfläche der Kasse oder auch neue Features, welche die Fiskalisierung nicht betreffen werden schnell gemacht. Der Kassenbetreiber erhält ein Update und alle sind glücklich. Doch nach Monaten oder Wochen oder gar Tagen wird eine tiefergehende Änderung an der POS-Software durchgeführt. Beispielsweise wird eines Datenfeld für den Kassenbeleg eingeführt oder die Erstellung der Archive ändert sich. Und schon ist die ausgestellte Bestätigung ungültig. Jeder PosOperator muss jetzt eine neue Bestätigung für die aktuelle Software erhalten, genauso, wie Sie ein Passwort wieder ändern.
Bei der Zertifizierung ist es ähnlich. Nur hier wird der Kassenhersteller zum Aktualisieren gezwungen. Jedes Jahr muss er sein POS-System wieder auf den Prüfstand der Zertifizierungsstelle legen und ein neues Zertifikat erhalten. Dieses wird auch dem PosOperator zur Verfügung gestellt. Macht der PosCreator kein jährliches Audit, wird die Kasse nach spätestens 12 Monaten unsicher. Sie entspricht nicht mehr den Gesetzen.
Bei beiden Wegen ist eines wichtig: Die Software und die Bescheinigung müssen so aktuell wie das Passwort sein. Denn bei einer Kontrolle der Finanzbehörden, muss die Bescheinigung vorhanden sein.
Sind die Daten in einer konformen Kasse sicher?
Wir haben auch noch die nächste Ebene der Kassensicherheit. So wie sie ihr Passwort vergessen können, ist es möglich, dass Kassendaten verschwinden.
Die Finanzbehörden schreiben ein Fiskalarchiv der Kassendaten vor. Jeder Kassenhersteller bietet es an, sonst wäre das POS-System nicht konform. Aber wie sieht es mit der Aufbewahrung aus? Der Kassenbetreiber speichert die Daten brav auf dem USB-Stick, Platz ist genug vorhanden. Die Jahre gehen ins Land und auf einmal ist der USB-Stick verschwunden und die Finanzbehörden stehen in der Tür! Jetzt hat der PosOperator wirklich ein Problem, denn die Daten wurden nicht sicher aufbewahrt.
Und noch schlimmer ist es wenn die Kasse überraschend defekt oder sogar gestohlen wird. Wo sind jetzt all die Daten der letzten Stunden, Tage, Wochen oder gar Monate? Weg! Denn ein Backup wird meistens in der Hektik der täglichen Arbeit vergessen. Dann wäre es gut, wenn diese Daten auf einem externen Speicher gespiegelt werden und idealerweise automatisch und ohne Eingriff des Benutzers.
Einfach Zertifizieren. Einfach konform bleiben. Einfach sicher.
We are Simplifying Complexity: Kontaktieren Sie unsVotre mot de passe est sécurisé, mais qu’en est-il de votre système de caisse ?
De nos jours, il ne devrait plus être nécessaire de parler de la sécurité des mots de passe. Il est évident d’avoir un mot de passe sûr (suffisamment long, avec des majuscules, des minuscules, des caractères spéciaux et des chiffres). De même, changer régulièrement de mot de passe est déjà entré dans les mœurs. Mais qu’en est-il maintenant d’une caisse, à quel point doit-elle être sûre ?
La sécurité par la certification ou l’auto-attestation ?
C’est comme pour un mot de passe : cela dépend du niveau ou degré de sécurité je veux utiliser.
En France, les systèmes de caisse sont sûrs dès qu’ils répondent aux règles de l’ISCA. Le respect de ces règles peut déjà être difficile en soi et exige beaucoup du fabricant de caisses, dans l’architecture du logiciel, dans les processus pendant le développement du logiciel, dans la gestion de la qualité et aussi dans le processus de mise à jour.
Dès que toutes ces exigences sont remplies, la caisse est conforme à la loi ou, comme on dit, elle est sûre ! La dernière petite étape peut être la confirmation par une auto-attestation. Il s’agit d’un modèle simple qui doit être rempli et remis à l’utilisateur de la caisse.
Ou alors, on choisit la voie plus compliquée de la certification. Dans ce cas, le respect des règles ISCA est contrôlé par un organisme de certification indépendant et un certificat de sécurité est délivré à la fin. L’exploitant de la caisse reçoit également ce certificat comme preuve de la conformité de la caisse avec la loi.
Rester en sécurité avec un certificat ou
une auto-attestation ?
Ici aussi, on peut faire le parallèle avec le mot de passe : plus le mot de passe est ancien, moins il est sûr.
Il en va de même pour la certification ! De petites modifications de l’interface utilisateur de la caisse ou de nouvelles fonctionnalités qui ne concernent pas la fiscalisation sont rapidement effectuées. L’exploitant de la caisse reçoit une mise à jour et tout le monde est content. Mais après des mois, des semaines ou ou parfois seulement quelques jours, une modification plus profonde est apportée au logiciel POS. Par exemple, un champ de données est introduit pour le ticket de caisse ou la création des archives est modifiée. Et voilà que le certificat ou l’attestation émis n’est plus valable. Chaque PosOperator doit maintenant recevoir une nouvelle preuve de conformité pour le logiciel actuel, tout comme vous changez pour un nouveau un mot de passe.
Il en va de même pour la certification. Seulement ici, le fabricant de caisses est contraint de se mettre à jour. Chaque année, il doit repasser son système POS au banc d’essai de l’organisme de certification et obtenir le renouvellement de son certificat. Celui-ci est également mis à la disposition du PosOperator. Si le PosCreator ne fait pas d’audit annuel, la caisse ne sera, au plus tard, plus sûre au bout de 12 mois. Elle n’est donc plus conforme à la législation.
Dans les deux cas, une chose est importante : le logiciel et la preuve de sa conformité avec la loi doivent être aussi actuels qu’un mot de passe. Car en cas de contrôle des autorités fiscale, le certificat ou l’auto-attestation doit être présenté.
Les données sont-elles sécurisées dans une caisse conforme ?
Nous avons aussi le niveau suivant de sécurité de la caisse. Tout comme il est possible d’oublier son mot de passe, il est possible que des données de caisse disparaissent.
Les autorités financières exigent des archives fiscales des données de caisse. Chaque fabricant de caisses le propose, sinon le système POS ne serait pas conforme. Mais qu’en est-il de la conservation ? L’utilisateur de la caisse enregistre sagement les données sur une clé USB, il y a suffisamment de place. Les années passent et tout à coup, cette clé USB disparaît et les autorités financières se bousculent au portillon ! Maintenant, le PosOperator a vraiment un problème, car les données n’ont pas été conservées en toute sécurité.
Et c’est encore pire si, par surprise, la caisse est défectueuse ou même volée. Où sont maintenant toutes les données des dernières heures, jours, semaines ou même mois ? Elles ont disparu ! En effet, une sauvegarde est généralement oubliée dans l’agitation du travail quotidien. Il serait alors bon que ces données soient mises en miroir sur une mémoire externe et, idéalement, automatiquement et sans intervention de l’utilisateur.
Se certifier simplement ! Rester simplement conforme ! Tout simplement sûr !
We are Simplifying Complexity: Contactez-nous