Ley antifraude 2021 (VERIFACTU) - Programas informáticos

[ermendalenda]

Buff, yo veo 2 cosas complicadillas para según que tipo de negocio:
Será obligatorio tener preparado el software para el envío inmediato de las facturas antes o la vez de su generación, espero que no sea obligatorio por que en sistemas lentos o con comunicación lenta (por ejemplo zonas con router de datos por 3g-4g) los clientes se pueden cabrear por una espera indeterminada de varios segundos, si además le añadimos un sistema de facturación centralizado con varios dispositivos generando facturas a la vez y hay que enviarlos en oden fifo.. Buff
Por otro lado el tema de las logs garantizado inviolabilidad etc, que eso nos lo dejan a nosotros, claro ahora en sistemas que no contemplen esa automatización en sus bases de datos búscate la vida y rompete la cabeza y que lo que hagas este dentro de los parámetros que ellos piensan que son inviolables. Por que yo puedo pensar que enviarle los datos a un webservice firmado puede ser suficiente, pero me pongo a pensar la de los logs que se generan según lo que piden y son muchísimos más datos que las facturas.
Los routers van a Petar del calentón y me veo un sin vivir todo el día acojonados con las averias

[antoine0]

Cita:

Empezado por ermendalenda

Será obligatorio tener preparado el software para el envío inmediato de las facturas antes o la vez de su generación, espero que no sea obligatorio por que en sistemas lentos o con comunicación lenta

Creo que se contemplan dos clases de sistemas:

1. por una parte sistemas con buena conexión, con los cuales se suben los registros en directo a Hacienda; son los que llevan una buena conectividad (en base a las esperanzas de los clientes); estas facturas son las que son «verificables», indicadas con una mención VERIF*FACTU especifica, a las cuales son de aplicación el capítulo III artículos 15 y16
2. por otra parte las facturas donde los registros no se suben de inmediato; entonces no es un problema si tu conexión no te da tiempo a subir las facturas a Hacienda. La contrapartida: estas facturas se tienen que firmar electrónicamente (artículo 12, 2º alinea).
3. además está la aplicación web de Hacienda (que tienen los mismos requisitos de conectividad que las del 1.)

[Neftali [Germán.Estévez]]

Así ojeando por encima y habiendo desarrollado TicketBAI (hacienda del país vasco) veo que la idea es bastante parecida; Han cogido ideas imagino. Veo lo siguiente:


"permitiendo, en su caso, la simultánea o posterior remisión de la información de los mismos a la Administración tributaria"

=> En el pais vasco ya está previsto que la fatura se envíe en cuanto se genera o durante un periodo posterior (lo antes posible dice la documentación). Es decir, no es condicionante para generar la factura. Se puede crear una cola (con un proceso externo) que va realizando los envíos.

"los obligados tributarios remitan inmediatamente a la Administración tributaria, de forma automática y segura por medios electrónicos, todos los registros de facturación generados en sus sistemas informáticos"
=> Cada ticket/factura que se genere hay que enviarla. En el caso del pais vasco, para personas/autónompos/miniempresas que generan pocas facturas al mes, ellos proveen un sistema para poder introducirlas manualmente. Pero esto sólo sirve para quien genere 5/10 facturas al mes.

"la estandarización de formatos de los registros de facturación, se deberá incluir: código «QR»

=> Igual. En cada factura que se emite, debe incluir QR con la información. Ese QR (hay un punto más adelante que lo explica) el usuario puede leerlo (con el móvil, por ejemplo) y le debe llevar a una web con los datos de su factura. Así se asegura de que se ha enviado y de que es igual que la que él tiene en papel (o en su ticket).

Algo así, para que os hagáis una idea:


"La integridad e inalterabilidad de los datos registrados se asegurará utilizando cualquier proceso técnico fiable que garantice el carácter fidedigno y completo de los registros de facturación desde que hayan sido grabados en el sistema informático"
=> Entiendo que habrá que utilizar certificado/firma con todo lo que se envíe (JSON/XML/...).

"La trazabilidad de los registros de facturación, que deberán estar encadenados de manera que pueda verificarse su rastro siguiendo su secuencia de creación desde el primero al último."

=> Todos los registros/facturas, deben incluir una parte de la firma de la factura anterior (encadenamiento), de esta forma te aseguras de que "no desaparecen facturas". Eso trae bastantes problemas técnicos (por experiencia). Si por lo que sea no puedes encadenar con la anterior hay que poder justificar porqué. Algo así como justificar los huecos en la facturación.

Generación del registro de facturación de alta
Generación y contenido del registro de facturación de anulación.
=> Se prevee alta, modificación y anulación de facturas (que no es lo mismo que rectificativas).

"El receptor de la factura, ya sea empresario o consumidor final, podrá proporcionar de forma voluntaria determinada información de la misma a la Agencia Estatal de Administración Tributaria facilitando el código identificativo de carácter alfanumérico o mediante la lectura del código «QR»"
=> El que recibe la factura puede remitirla también a la AEAT. Es decir se pueden enviar facturas de compra (en el País vasco también). cosa que a la AEAT le facilita mucho el trabajo de "vigilancia", porque así puede "cuadrar" las que recibe de compra con las que recibe de Venta. Y si no "cuadran" pues multa al canto...


"LaAgenciaEstataldeAdministraciónTributariafacilitaráunarutaespecíficaensusede electrónica o a través de la aplicación que al efecto ponga a su disposición para recibir dicha información. El acceso a la sede electrónica o a la aplicación mostrará los datos del código identificativo de carácter alfanumérico o del código «QR» en formato legible"
=> La web que he mencionado anteriormente, donde escaneado el código de la factura/ticket en papel, obtienes info de la factura generada.
Como ejemplo, os muestro el QR de una factura generada para Guipuzcoa:



Si lo escaneáis, devuelveeste texto:
h_t_t_p_s://pruebas-ticketbai.araba.eus/tbai/qrtbai/?id=TBAI-B05430756-150222-BDM2BLewRizLS-007&s=SG&nf=3&i=36.00&cr=009
link: https://pruebas-ticketbai.araba.eus/...i=36.00&cr=009

Que es un link con los datos de la factura

[[newtron]]

Yo creo que lo suyo sería ir creando y manteniendo una lista de "especificaciones mínimas" que consensuemos entre todos y que deberían de tener nuestros programas para cumplir la dichosa normativa esta porque hay cosas que a mi no me quedan claras.

Por otro lado parece ser que todo esta movida va enfocada a las operaciones de venta por lo que entiendo que no hay mucho que hacer en compras, pedidos, traspasos, etc.

Yo de momento solo me he leido el documento por encima para hacerme una idea de "lo gordo" pero habrá que ir demenuzando así que, si os parece, me atrevo a comenzar la lista con algo que está meridianamente claro (si me equivoco me rectificáis):

**********************************

LISTA DE ESPECIFICACIONES MÍNIMAS

- Control e identificación de usuarios al acceder al programa. Este usuario se incluirá en todos los registros de operaciones de venta e igualmente se llevará un "registro de eventos" de cuando accede, las operaciones de venta que hace y cuando abandona el programa.

**********************************
Esto lo podemos ir copiando/pegando/ampliando y rectificando según vayamos entendiendo.

Para empezar ahora mi pregunta es: este "registro de eventos" cómo crearlo y manejarlo.


Saludos

[antoine0]

Cita:

Empezado por Neftali [Germán.Estévez]

"La integridad e inalterabilidad de los datos registrados se asegurará utilizando cualquier proceso técnico fiable que garantice el carácter fidedigno y completo de los registros de facturación desde que hayan sido grabados en el sistema informático"
=> Entiendo que habrá que utilizar certificado/firma con todo lo que se envíe (JSON/XML/...).

Es cierto que hay que usar certificados (o equivalente como cl@vePIN) para transmitir cualquier cosa a Hacienda, para autenticarse; de no ser así, eventualmente cualquier mengano podría remitir documentación en nombre de fulano; y entonces fulano podría decir a Hacienda que no es lo suyo, y así evadir cualquier control Entonces se precisa HTTPS/TLS con certificado de cliente. Nada nuevo aquí.

Pero lo citado no se refiere a eso; se refiere a los mecanismos dentro de la aplicación (o de la base de datos).
Y aunque se pueden usar firmas electrónicos para cada registro grabado, no creo que sea siempre necesario, sobre todo por dos razones: 1, en términos de CPU, no sale gratis la firma electrónica; y 2, para firmar de forma completamente automática, la clave privada debe ser bajo el control del proceso automatizado, la cual cosa crea un potencial agujero de seguridad; qué atrae más complejidad, lo contrario del efecto buscado. Imaginad la diferencia en termino de código y de debug entre:

1. Calcular (eventualmente en un disparador) el hash SHA-2 de los datos de un registro más las referencias y huella del registro anterior (que crea el encadenamiento);
   o
2. engancharse con un módulo HSM externo para grabar cada registro en la base de datos

Yo sé con cuál de los dos prefiero lidiar

[Neftali [Germán.Estévez]]

Cita:

Empezado por antoine0

Pero lo citado no se refiere a eso; se refiere a los mecanismos dentro de la aplicación (o de la base de datos).

La integridad e inalterabilidad de los registros de facturación de forma que, una vez registrados
los datos de facturación, éstos queden protegidos contra cualquier acción que comprometa la
exactitud, autenticidad y completitud de los datos almacenados, de manera que ninguno de los
datos registrados pueda ser alterado, ni por el propio sistema informático, ni por el usuario ni por
ningún dispositivo, sistema o programa informático o electrónico externo.

El sistema informático no dispondrá de ninguna funcionalidad que permita, de forma presencial o
remota, alterar u ocultar los datos originales previamente registrados.


Tienes razón, esto se refiere a los mecanismos desde tu aplicación (ya he dicho que lo había leído rápido), pero debería bastar con algo básico; No creo que haya que usar firmas ni hashes dentro del propio programa (a lo más si lo deseas, puedes encriptar BD, aunque poersonalmente no me gusta si no es estrictamente obligatorio).
1) Tu aplicación no debe permitir hacer "cosas raras" (B)
2) Una vez modificados los datos y enviados, tu aplicación no debe permitoir modificarlos.
3) Debes proteger el acceso a la Base de Datos (SGBD) con usuario/contraseña, de forma que nadie desde fuera pueda acceder a los datos y cambiarlos.

Con eso te aseguras esa integridad e inalterabilidad.

[antoine0]

Cita:

Empezado por Neftali [Germán.Estévez]

No creo que haya que usar firmas ni hashes dentro del propio programa

Sí, hay que usar huellas / hashes: mira al artículo 12; también a la letra ñ) del 10.1, dónde se especifica

Cita:

ñ) El número y, en su caso, la serie de la factura anterior, la fecha de expedición y parte de la huella o «hash» del registro de facturación de alta correspondiente a la factura anterior, cuando no se trate de la primera factura expedida.

Se deduce que hay al mínimo una huella en todos los registros (salvo el primero).

Una cosita interesante es que en el artículo 11 (registros de anulación, cuando el 10 es para los registros normales) no hay un equivalente a la ñ. Entonces las anulaciones no están encadenadas por construcción (sigue de aplicación el 8.2 b que manda encadenar). Supongo que es por qué estos registros pueden ir opcionalmente mezclados con los normales en algunos sistemas (cuando los abonos se consideran como una forma más de factura).

[Neftali [Germán.Estévez]]

Cita:

Empezado por antoine0

Sí, hay que usar huellas / hashes: mira al artículo 12; también a la letra ñ) del 10.1, dónde se especifica
...

Creo que estás mezclando cuando se habla de registros, los que son de la propia aplicación, con los "registros de facturación" que se envían a la administración.

Cuando habla de esto:
Artículo 9.Generación del registro de facturación de alta

Se está refiriendo no a tu factura en BD, sino que ese "registro de facturación de alta" es el elemento que tú debes generar (XML, JSON,...) y que será enviado a la AEAT. Ese registro/fichero sí que va firmado, lleva encadenamiento, hash,...

Por eso luego habla de:
Artículo 11.Generación y contenido del registro de facturación de anulación

Lo mismo. Eso se refiere al XML/JSON que tú debes generar y envias cuando anulas una factura. En tu sistema la información de anulación no tiene porqué tener TODA la información que ahí se detalla. Piensa que tú para una anulación en tu sistema es posible que sólo necesites el ID de la factura inicial y FECHA de aulación y lo que ahí te pide es todo lo que se detalla en el artículo 11. Eso te está indicando que NO SE REFIERE a tu registro de BD, sino al "registro que envías".

Aquí deja claro que "el registro de facturación" NO ES tu registro de la Base de Datos, que tú puedes guardarlo como te convenga, sino a los ficheros que tú generas y envias a la administración:

Asimismo, los registros de facturación de alta y de anulación a que se refieren los mencionados
artículos deberán ser firmados electrónicamente. Esta firma electrónica no será obligatoria para
los sistemas informáticos que realicen la remisión de todos los registros de facturación a la
Agencia Estatal de Administración Tributaria según lo indicado en los artículos 15 y 16 de este
Reglamento