Requerir certificado digital de cada cliente o usar uno propio del desarrollador

[espinete]

Nosotros en un principio hemos optado (al igual que hicimos con TicketBAI y con otros países) porque cada Obligado Tributario utilice su propio Certificado Digital para poder hacer los envíos de VeriFactu, pero he leído en algunos posts que hay algunos que habéis optado por usar el vuestro propio para evitar algunos problemas.

¿Qué certificado haría falta para eso? ¿El cliente tiene que darlo de alta como certificado de confianza en algún sitio? Creo que en TicketBAI había que registrarlo como tercero de confianza o algo así, la verdad es que no tengo mucha idea.

Por otro lado, usar un certificado nuestro (de la empresa desarrolladora) me da un poco de miedo. Habría que incluirlo en los instaladores, descargarlo online cuando hiciera falta, estar pendiente de renovaciones (y que de ello dependan miles de usuarios), etc.
No me convence mucho, pero no estaría de más considerarlo para determinados casos.

¿Alguien lo ha hecho así?

[[newtron]]

Cita:

Empezado por espinete

Nosotros en un principio hemos optado (al igual que hicimos con TicketBAI y con otros países) porque cada Obligado Tributario utilice su propio Certificado Digital para poder hacer los envíos de VeriFactu, pero he leído en algunos posts que hay algunos que habéis optado por usar el vuestro propio para evitar algunos problemas.

¿Qué certificado haría falta para eso? ¿El cliente tiene que darlo de alta como certificado de confianza en algún sitio? Creo que en TicketBAI había que registrarlo como tercero de confianza o algo así, la verdad es que no tengo mucha idea.

Por otro lado, usar un certificado nuestro (de la empresa desarrolladora) me da un poco de miedo. Habría que incluirlo en los instaladores, descargarlo online cuando hiciera falta, estar pendiente de renovaciones (y que de ello dependan miles de usuarios), etc.
No me convence mucho, pero no estaría de más considerarlo para determinados casos.

¿Alguien lo ha hecho así?

No es mi caso pero según creo hay que firmar un contrato que la aeat te tiene que registrar y por lo visto llevan bastante retraso.


Por otro lado, yo en particular pienso que si el programa estuviera en la nube y yo controlara mi certificado para todos los clientes a la vez igual me lo planteaba pero eso de instalar tu certificado en cada máquina de cada cliente y mantenerlo lo veo engorroso aparte de peligroso. Por esto, aunque sea un coñazo, uso los certificados de los clientes avisando cuando queda un periodo razonable para su caducidad para que ellos mismos lo vayan renovando.

[wilecoyote]

Tienes que firmar un convenio de colaborador social con la AEAT, igual que hacen los gestores. Se han inventado una modalidad de colaborador nueva (el tipo 17, creo recordar que lo llamaban).

[espinete]

Pues por ahora, pasando del tema...

[emailesc]

Nosotros somos colaboradores sociales, pero solo enviamos con el acuerdo de representación y nuestro certificado en los envíos en el ERP que está en nuestros servidores; las instalaciones de la parte del software que va en los locales envía con el certificado del cliente. La razón es que es más delicado gestionar los certificados ajenos en tus instalaciones que el tuyo propio, además de que eso de que te den un certificado electrónico siempre es delicado, y si encima no es sello sino certificado de representante, es casi una temeridad por parte del cliente.
Efectivamente hay que suscribir un acuerdo con Hacienda y cada cliente además tiene que firmarte un acuerdo en el que te autoriza a mandar a Verifactu representándole. La documentación y el proceso de firma son fáciles, pero luego por la parte de Hacienda tiene que firmar nosequien y en eso les ha llevado más de un mes.
Para los envíos puedes utilizar sello y certificado de representante. En nuestro caso enviamos con sello lo de los clientes, dejando el certificado para las operaciones propias. No obstante la firma de los acuerdos sí la tienes que hacer con certificado de representante, no vale el sello. Lo que registran en sí para luego autorizar los envíos es la empresa representante, no el sello que utiliza.

[espinete]

Una duda sobre el uso de los certificados...

En principio, y por ahora, solo hace falta firmar con certificado digital los envíos, no el XML del RF.
Nuestra aplicación realiza los envíos desde un solo PC (Servidor), por lo que en teoría, solo haría falta instalar/usar el certificado en el PC Servidor, que es quien firma y envía.

Peeeero...

Para consultar si un NIF es válido (si está identificado en la AEAT, etc.) sí se requiere certificado, y esa validación se hace en cualquier PC, no solo en el Servidor, por lo que tendría que tener también el certificado en todos los PCs si quiero usar el webservice de la Aeat para validar NIFs (y otros).

Tenemo cliente que dice que no le parece muy seguro que el certificado esté instalado en todos los PCs, porque no se fían de lo que pueden hacer los empleados (como si se fueran a presentar modelos trimestrales, pero bueno...).

Total... ¿hay alguna forma de evitar esto?

Lo ideal sería guardar el certificado en la BD, para poder "rescatarlo" desde los demás PCs y poder usar el webservice de consulta/validación de NIFs, sin necesidad de instalarlo en todos los PCs, pero no tengo mucha experiencia con esto y no sé si es posible.

Creo que tengo un proyecto antiguo en el que hacía algo parecido para firmar archivos PDFs, donde guardaba el certificado en la BD como Stream y lo importaba luego desde otros PCs para la firma, pero no sé si en qué formato requiere ese webservice el certificado.