Sage XRT Business Exchange 15 (2023 R1)
Service Transfert de fichiers
Sécurisation des protocoles serveurs
Gestion des logins
Il est possible d'authentifier les échanges des protocoles serveurs.
Pour un opérateur financier, sélectionnez l'option Utilisable pour l’authentification en transfert de fichier.
Vous pouvez renseigner la clé d'authentification à utiliser avec le protocole SFTP.
En utilisant l'opérateur financier, la gestion du login - mot de passe et sa complexité sont déléguées à Sage XRT Common Services.
Protocoles Serveur
Pour les protocoles HTTP, SFTP, FTP et AS2, les accès aux contrats supervisés doivent être autorisés pour l'opérateur.
Les Autorisations avancées permettent d'ajouter rapidement la liste des contrats supervisés.
Gestion des quotas
Vous pouvez définir un nombre de connexions simultanées. Par défaut, dix connexions en parallèle sont autorisées pour une entité.
Vous pouvez également effectuer un contrôle mensuel sur le nombre ou sur le volume total (en MO) de fichiers émis et reçus. Lorsque les quotas sont atteints, toute connexion est refusée.
Tous les paramètres sont vérifiés une première fois après le login, puis les deux paramètres volumétriques liés aux fichiers sont vérifiés à chaque demande de création ou de récupération sur le serveur.
Gestion de la durée maximale des connexions
Pour éviter que les connexions clients soient maintenues ouvertes sur une journée entière, des contrôles sur les commandes KeepAlive et NOOP doivent être établis pour les protocoles serveur SFTP et FTP.
Lorsqu'un nombre consécutif de commandes KeepAlive est atteint, la connexion est coupée. Cette limite est configurable. Lorsqu'une commande autre que KeepAlive est passée, le compteur est remis à zéro.
Lorsque le paramètre Authorize KeepAlive commands est positionné sur YES, les commandes KeepAlive maintiennent la connexion. Il s'agit du comportement par défaut pour les versions de Sage XRT Business Exchange inférieures à la version 15 (2023 R1).
Lorsque le paramètre Authorize KeepAlive commands est positionné sur NO, les commandes KeepAlive ne permettent pas de maintenir la connexion. Il s'agit du comportement par défaut à partir de la version 15.
Options cryptographiques sur SFTP
Sur le Service de transfert de fichier, il est possible de définir la suite des protocoles de sécurisation :
-
Proposal KEyExchange Alg : algorithme d'échanges de clés (les valeurs disponibles sont celles recommandées en 2021 : diffie-hellman-group-exchange-sha256)
-
Proposal Encrypt Alg : algorithme de chiffrement
-
Proposal HMAC alg : algorithme des HMAC qui calcule l'intégrité des trames réseau du protocole SFTP
-
Proposal Compression Alg : algorithme de compression utilisé lors des échanges
Vous pouvez également paramétrer le niveau de log : 4 niveaux d’informations sont disponibles sur les traces.
Liste des algorithmes supportés par défaut côté serveur
-
eecdh-sha2-nistp256, ecdh-sha2-nistp384, ecdh-sha2-nistp521, diffie-hellman-group-exchange-sha256
-
diffie-hellman-group-exchange-sha1, diffie-hellman-group14-sha1, diffie-hellman-group1-sha1
-
aes128-ctr, aes192-ctr, aes256-ctr
-
arcfour256, arcfour128, aes128-cbc, 3des-cbc, blowfish-cbc, cast128-cbc, aes192-cbc, aes256-cbc, arcfour, [email protected]
-
[email protected], [email protected], hmac-sha2-256, hmac-sha2-512
-
[email protected], [email protected], [email protected], hmac-md5, hmac-sha1, [email protected]
-
hmac-ripemd160, [email protected], hmac-sha1-96, hmac-md5-96
Liste des algorithmes supportés coté demandeur
-
ecdh-sha2-nistp256, ecdh-sha2-nistp384, ecdh-sha2-nistp521, diffie-hellman-group-exchange-sha256
-
diffie-hellman-group16-sha512, diffie-hellman-group18-sha512, diffie-hellman-group14-sha256, diffie-hellman-group14-sha1
-
iffie-hellman-group1-sha1, diffie-hellman-group-exchange-sha1
-
aes128-ctr, aes192-ctr, aes256-ctr
-
aes256-cbc, [email protected], aes192-cbc, aes128-cbc, blowfish-cbc, arcfour128, arcfour256, cast128-cbc, 3des-cbc
-
hmac-sha2-256, hmac-sha2-512
-
hmac-sha1, hmac-sha1-96, hmac-md5, hmac-md5-96, hmac-ripemd160, [email protected]
Ces paramètres ne sont pas positionnés par défaut.
Téléchargement
Refonte de l'application
L'application Sage XRT Téléchargement a été réécrite et bénéficie désormais de l'architecture Carbon et de l'API Rest pour s'intégrer avec les différents modules de Sage XRT Online Banking.
Authentification
Le login de connexion est utilisé pour l'authentification lors de l'envoi ou de la réception des fichiers.
L'application Sage XRT Téléchargement n’est pas disponible pour les utilisateurs du groupe SAAS.
Types de fichiers
Il est possible d'émettre un fichier sur un des contrats paramétrés afin de le mettre à disposition.
Tous les fichiers mis à disposition peuvent être extraits, tant que leur extension est prise en charge par le système d'exploitation.
Lorsque plusieurs fichiers sont extraits en même temps, un fichier compressé est créé pour chaque type de service.
Par défaut, le nom du fichier extrait reprend l’alias du fichier. Si l’alias n’est pas renseigné, le fichier extrait reprend le nom du fichier d’origine.
Vous pouvez cliquer sur un numéro de fichier pour le visualiser dans un nouvel onglet. Si le type de fichier ne peut pas être affiché par l’application, un message vous propose de télécharger le fichier.
Historique des transferts
L’historique des transferts permet de consulter les résultats de l'envoi et de la réception de fichiers.
Signature
Pièces justificatives
Ajout
Une colonne Pièces est disponible sur l'écran Ajout du circuit de signature.
Pour chaque fichier, il est possible d'ajouter un ou plusieurs documents en cliquant sur le bouton affiché dans la colonne Pièces correspondante.
Les boutons sous forme d'icônes Plus et Corbeille vous permettent d'ajouter et de supprimer des pièces.
Une fois les documents ajoutés, leurs noms sont affichés dans la colonne Pièces.
Signature et Préparation
L'ajout de documents est aussi disponible lors des phases de Préparation et de Signature des fichiers.
Pour chaque fichier, il est possible d'ajouter un ou plusieurs documents en cliquant sur le bouton affiché dans la colonne Pièces correspondante. Le nombre de documents déjà attachés est également affiché dans cette colonne.
Les documents ne peuvent être supprimés que lors de la Préparation. La colonne Description n'est pas modifiable.
Un clic sur le document dans la colonne Nom permet de l'afficher dans un nouvel onglet du navigateur ou de le télécharger.
Commentaires
Une nouvelle colonne Commentaires est disponible dans la liste des fichiers à signer. Pour chaque fichier, des commentaires peuvent être créés et partagés sous forme de discussion entre les différents signataires. Le nombre de messages ajoutés à la discussion est affiché.
Un clic sur l'icône Message ou sur le nombre indiqué permet d'afficher la fenêtre de discussion.
Chaque nouveau commentaire saisi et envoyé devient visible par tous les signataires du fichier.
Chaque signataire peut supprimer les messages qu'il a transmis.
Si le champ Description a été renseigné au moment de l'ajout, l'information est reprise comme en-tête de la discussion.
Signature XaDES
Le format XaDES peut être utilisé en signature réelle sur le poste de signature. Il est disponible sous Windows, et soumis à licence. La version EidSign doit être 4.0.0.108 minimum.
Pour les fichiers volumineux, une variable Max Xml File length for XADES est disponible dans le registre. Cette variable est positionnée sur 150 Mo : au-delà de cette limite, la signature est détachée, en deçà, la signature est enveloppée.
Certificat au statut Non Initialisé
Dans le Paramétrage des Identités EBICS, un signataire peut forcer le statut de son certificat à Non Initialisé.
Ceci permet de renouveler la procédure d'initialisation auprès du partenaire bancaire.
Options de configurations autorisées pour les contrats
Dans le Gestionnaire des contrats de signature, pour simplifier le paramétrage de la Préparation, des Superviseurs et du Paraphage et des Pouvoirs bancaires pour les signataires, la liste des configurations autorisées présente deux options :
-
Uniquement celles ci-dessous
-
Sauf celles ci-dessous
Supervision
Fichiers et archives
Il est possible de consulter l'ensemble des fichiers et archives reçus.
Un clic sur le numéro d'identification permet de lancer l'édition du fichier.
La liste des fichiers sélectionnés peut être exportée au format Excel.
Interfaces
Les fichiers d'interface de Trésorerie et de Rapprochement peuvent être générés.
Le bouton Générer permet de créer un fichier dans le répertoire défini lors du paramétrage.
Le menu Actions - Télécharger permet de télécharger le fichier en local.
Le menu Actions - Réinitialiser le statut redonne au fichier le statut Non généré, pour permettre ensuite une nouvelle génération.
Le menu Action - Excel permet d'exporter la liste des fichiers sélectionnés au format Excel.
Informations de signature dans l'historique des transactions
Un onglet Informations complémentaires est disponible dans l'Historique des transactions pour les événements dont les informations correspondent à Transaction = SIGN et Fonction = SIGN.
Le paraphage (SIGN), l'émission (SEND), l'édition (SIGN) d'un fichier et l'édition des tickets (ARCH) alimentent alors les deux champs suivants :
-
Nombre de mouvements : total des transactions du ou des fichiers,
-
Somme totale : montant total du ou des fichiers.
Statuts des fichiers
La liste des signataires autorisés a été ajoutée dans l'onglet Circuit de signature.
Un onglet Informations complémentaires est également disponible.
Le menu Actions permet :
-
d'envoyer les fichiers arrivés au bout du circuit de signature, mais qui restent en attente de transfert alors que le contrat de signature prévoit un envoi automatique,
-
de déverrouiller un fichier.
Analyses et maintenances (P5BAM)
Les analyses et maintenances peuvent être paramétrées par site. Le fichier P5bam.ini doit alors être renommé de la façon suivante : P5bam-NomduSite.ini. S'il n'existe pas de fichier dédié pour un site, le fichier P5bam.ini est utilisé.
Le fichier P5bam.ini est désormais disponible pour Oracle. Vous devez supprimer le fichier P5bam.ini, puis renommer le fichier P5bam.ini.oracle en P5bam.ini.
Deux sections supplémentaires sont disponibles, afin de limiter les analyses et les maintenances pour les utilisateurs finaux.
-
[USER MODEL LIST], livré avec les analyses par défaut : Analyse générale, Analyse sur les contrats de communication, Analyse historique de communication, Analyse sur le service de signature, Analyse historique des intégrations du jour, Extraction d'informations RGPD, Analyse sur les comptes bancaires du jour.
-
[USER MAINTENANCE PLAN LIST], livré avec les maintenances Suspension des contrats, Redémarrage des services en excès de consommation mémoire (2Go), Purge des fichiers temporaires, Mise au coffre-fort des identités X509.
L’utilisateur appartenant au groupe SAAS visualise les analyses et les maintenances des sections [GENERAL MODEL LIST] et [MAINTENANCE PLAN LIST].
Les analyses et les maintenances peuvent être exécutées à partir du menu Outils du module Supervision.
Le bouton Éditer permet de lancer l'édition des analyses sélectionnées.
Les formats suivants sont disponibles :
-
HTML (ouverture dans un nouvel onglet)
-
TXT
-
CSV
-
XML
-
JSON
Dans le menu Actions, sélectionnez Notifier pour envoyer les analyses par e-mail à un groupe de destinataires.
Le fichier p5bam.ini est sauvegardé lors des mises à jour.
Identités EBICS
Depuis le menu Audit — Historique des identités EBICS, vous pouvez consulter l'historique des actions des identités EBICS des signataires.
Depuis le menu Outils - Identités EBICS, les actions suivantes peuvent être exécutées pour l'ensemble des identités EBICS des signataires :
-
Restaurer une identité supprimée à tort (statut Supprimé)
-
Forcer le statut à Non initialisé (suppression de la date d'initialisation et du hash du certificat de signature)
Banques EBICS
Depuis le menu Outils — Banques EBICS, il est possible d'ajouter plusieurs services à une ou plusieurs banques.
Panneaux d'affichage
Les panneaux d'affichage des traitements ont été généralisés. Lorsqu'elles sont disponibles, les informations complémentaires sont affichées.
Accès aux contrats supervisés
La page Accès aux contrats supervisés permet de rechercher des contrats.
Nouveaux onglets pour la communication
Les onglets Description, Informations protocolaires, Informations de sécurité et Informations de signature pour les émissions, sont désormais disponibles.
Plate-forme
Base de données : taille des fichiers du VFS
La taille des fichiers du VFS est disponible sur les tables TRF_FIC et ARC_FIC.
Les colonnes deviennent disponibles dans les listes du module Supervision.
Suite à cet ajout, il peut être nécessaire de mettre à jour l'historique du VFS, archives comprises.
Une action de Resynchronisation de la taille des fichiers peut être lancée via l'utilitaire PurgeVFS.
Usage : PURGEVFS {/ALL | /ARCH | /FILE | /SIGN} [/S: /DBONLY /DSN: /SERVER:]
-
/ALL Purge tous les containers
-
/ARCH Purge le container d'archives uniquement
-
/FILE Purge le container de fichiers uniquement
-
/SIGN Purge le container de signatures uniquement
-
/S: Purge d'un seul service
-
/DBONLY Uniquement la base de données
-
/DBRESYNC Resynchronise la taille des fichiers
-
/DSN: Chaîne de connexion ODBC
-
/SERVER: Nom de site
Base de données : formats de date
Afin de simplifier les requêtes SQL, les colonnes suivantes ont été ajoutées dans la table S_TFI au format datetime :
-
CREDT_TFI, date et heure du fichier
-
PREDT_TFI, date et heure d'ajout du fichier
-
PRDT_TFI, date et heure de préparation du fichier
Les colonnes déjà existantes sont toujours alimentées.
Base de données : identifiants
Pour établir le lien entre les fichiers reçus en mode serveur récepteur de Sage XRT Business Exchange et les fichiers ajoutés en signature, deux nouvelles colonnes ont été créées :
-
VFSIDFIC_TFI, identifiant du fichier
-
ARCIDFIC_TFI, identifiant du fichier archivé
Ces deux colonnes sont disponibles sur les pages de Signature.
Les arguments suivants ont été ajoutés dans PDSCOPY (pdscopy.exe et objets SXBE) :
-
/VFSID, identifiant du VFS
-
/ARCID, identifiant d'archive
Extension Rapi pour les développements spécifiques
Des API Rest peuvent être créées dans le service P5RAPI pour répondre à des besoins clients spécifiques.
L'utilisation de P5RAPI vous permet d'hériter de la sécurité de Sage XRT Business Exchange.
Vous pouvez accéder à vos propres données au sein de vos différents référentiels, et mettre à disposition de vos clients de nouvelles pages développées avec l'environnement Carbon.
Code de validation de signature
La date de dernière modification du code de validation de la signature est indiquée dans l'onglet Modification du code de validation.
Ergonomie
Sur les pages des modules Signature, Téléchargement et Supervision, l'affichage des éléments des grilles peut être personnalisé.
Dans les Préférences utilisateur, il est possible de déterminer l'emplacement de la barre de boutons et d'activer le redimensionnement automatique des colonnes.
Statistiques d'usage des certificats X509/GPG
Les statistiques d'usage vous permettent de suivre, pour maintenance, l'utilisation des certificats pour les protocoles de signature EBICS, PKCS7 et GPG.
Deux nouvelles colonnes ont été ajoutées à la table KEYVAULT : UCOUNTER et DATE_LAST. Elles permettent de tracer le nombre d'utilisations et la dernière date d'intention d'utilisation des certificats.
Red & purple teaming (Customer upload)
Depuis les Options avancées de l'onglet Protection des données, l'option Forcer la vérification anti-malware (en collaboration avec l'anti-virus) active de façon dynamique l'utilisation de l'interface Microsoft Antimalware.
Cette option permet de détecter les charges malware dites fileless. Elle augmente le niveau de protection des données reçues : surveillance des envois Json sur le service Rapi en provenance des protocoles EBICS et HTTP en mode serveur.
L'analyse anti-malware porte également sur les scripts VBScript et PowerShell, ainsi que sur les lignes de commande des processus démarrés par Sage XRT Business Exchange.
Amélioration des outils
Les améliorations suivantes ont été apportées sur P5WCERT pour GPG :
-
Obtention d'une liste des péremptions de clés
-
Sauvegarde / restauration dans le Keyvault
Un nouvel usage de P5WCERT /GPG permet de travailler spécifiquement sur le store des certificats GPG. Il peut être employé pour les usages /VAL, /EXP, /IMP, /DEL, /DBDEL, /DBEXP, /DBIMP, /CEBCREATE, /CEBREPORT, /CEBDELETE.
PURGEHST permet la suppression des identités EBICS.
Amélioration des exits
Vous pouvez effectuer une sélection sur le nom de fichier d'origine avec filtre : 12?43*.*.
Vous pouvez également créer un paramétrage %#tmp1 à %#tmp9 pour assurer le chaînage des noms de fichiers temporaires dans les exits.
Pour les protocoles supportant la réconciliation, l’identifiant du message d’origine est disponible : #ORIGMSGID. Il est également présent dans le DOM du service Transfert de fichier sous le nom Vfs.OriginalMsgId.
Pour le protocole EBICS, l’identifiant d’ordre EBICS est disponible : #EBICSORDERID.
Support XOAuth2 sur le service de notification (SMTP)
L'authentification XOAuth2 est supportée pour Gmail et Office 365.
Dans l'onglet Général de l'Assistant du paramétrage du dispositif de notification SMTP, sélectionnez un mécanisme d'authentification : XOAUTH2-GMAIL ou XOAUTH2-O365.
Ensuite, dans l'onglet correspondant, renseignez vos identifiants et cliquez sur Demande de consentement.
Modification du ReverseProxy transparent sur les Outils DMZTools
Le service de proxy s'appuie désormais sur l'interface portproxy de Windows.
Dans l'onglet Référentiel du Service de transaction, le champ Url publique du service OnlineBanking doit être renseigné et l'option Utilisation d'un proxy transparent activée.
Il n'est plus nécessaire d'installer OnlineBanking et autres fichiers sur le service de proxy.
Ajout d'un sous-titre personnalisé au nom de produit
Dans l'onglet Référentiel du Service de transaction, il est possible de définir un sous-titre à afficher dans la barre de commandes de Sage XRT Online Banking.
