Documentation
Données personnelles : liste, contenu et localisation
Les types de données standard associés aux fiches de données personnelles sont les suivants :
|
Type de données |
Description |
|---|---|
|
AIN |
Interlocuteur |
|
AUS |
Utilisateur |
|
BID |
Numéro compte bancaire |
|
BPA |
Adresse |
|
BPC |
Clients |
|
BPR |
Tiers |
|
BPS |
Fournisseur |
|
BPT |
Transporteur |
|
COR |
Correspondants |
|
E164TEL, TEL, TELTC |
Numéros de téléphone/fax |
|
FNA |
Prénom |
|
GAC |
Compte (général ou individuel) |
|
LDS |
Lead |
|
MAI |
Adresse e-mail |
|
NAM |
Nom |
|
REP |
Représentant |
Le détail de ces données se présente de la façon suivante :
|
Table |
Description |
Description |
Champ |
|---|---|---|---|
|
BAPPOINT |
Rendez-vous |
Tiers |
APTCMP |
|
Personne à visiter |
APTCCNNUM |
||
|
Correspondants |
APTCOR |
||
|
Représentant |
APTREPNUM |
||
|
Enregistrement |
APTRECADD |
||
|
Téléphone |
APTTEL |
||
|
Portable |
APTMOB |
||
|
Adresse e-mail |
APTEML |
||
|
Organisateur |
ATPREPMNA |
||
|
BID |
Données bancaires |
Entité |
BPANUM |
|
Numéro compte bancaire |
BIDNUM |
||
|
BILLLADH |
En-tête bon de transport |
Tiers |
BPR |
|
Client livré |
BPRNAM |
||
|
Transporteur |
BPTNUM |
||
|
BP1096PRN |
Table d'impression 1096 |
Téléphone |
TEL |
|
Fax |
FAX |
||
|
BP1099BEGBAL |
Balance d'ouverture 1099 |
Fournisseur |
BPSNUM |
|
BP1099PRN |
Table d'impression 1099 |
Fournisseur |
BPSNUM |
|
Téléphone |
TEL |
||
|
BPADDRESS |
Adresses |
Entité |
BPANUM |
|
Par défaut |
BPABID |
||
|
Téléphone |
TEL |
||
|
Fax |
FAX |
||
|
Portable |
MOB |
||
|
Adresse Internet |
WEB |
||
|
BPARTNER |
Tiers |
Tiers |
BPRNUM |
|
Raison sociale |
BPRNAM |
||
|
Contact par défaut |
CNTNAM |
||
|
Numéro compte bancaire par défaut |
BIDNUM |
||
|
Partenaire |
CSLBPR |
||
|
BPCARRIER |
Transporteur |
Transporteur |
BPTNUM |
|
Raison sociale |
BPTNAM |
||
|
Contact par défaut |
CNTNAM |
||
|
BPCCATEG |
Catégorie de client |
Représentant |
REP |
|
Représentant |
REPDLV |
||
|
Transporteur |
BPTNUM |
||
|
BPCUSTMVT |
Mouvements clients |
Clients |
BPCNUM |
|
Tiers risque |
BPCRSK |
||
|
BPCUSTOMER |
Clients |
Clients |
BPCNUM |
|
Raison sociale |
BPCNAM |
||
|
Client facturé |
BPCINV |
||
|
Client payeur |
BPCPYR |
||
|
Client groupe |
BPCGRU |
||
|
Client risque |
BPCRSK |
||
|
Contact par défaut |
CNTNAM |
||
|
Représentant |
REP |
||
|
Compagnie d'assurance |
BPCCDTISR |
||
|
Contact |
CNTEFAT |
||
|
BPDLVCUST |
Client livré |
Clients |
BPCNUM |
|
Raison sociale |
BPDNAM |
||
|
Transporteur |
BPTNUM |
||
|
Transitaire |
FFWNUM |
||
|
Représentant |
REP |
||
|
BPEXCEPT |
Exception tiers-société |
Tiers |
BPRNUM |
|
BPMISC |
Donneur d'ordre/Tiers divers |
Compte tiers |
BPRNUM |
|
BPS1099GEN |
Génération 1099 |
Fournisseur |
BPSNUM |
|
BPS1099MNT |
Maintenance 1099 fournisseur |
Fournisseur |
BPSNUM |
|
BPS1099PAY |
Règlements 1099 fournisseur |
Fournisseur |
BPSNUM |
|
BPSCATEG |
Catégorie fournisseur |
Transporteur |
BPTNUM |
|
Transitaire |
FFWNUM |
||
|
BPSHISUPLN |
Adresse d'expédition |
Fournisseur |
BPSNUM |
|
Fournisseur expédition |
BPSSHI |
||
|
BPSHISUPP |
Fournisseur expédition |
Fournisseur expédition |
BPSSHI |
|
Raison sociale |
BPSNAM |
||
|
Transitaire |
FFWNUM |
||
|
BPSUPPLIER |
Fournisseur |
Fournisseur |
BPSNUM |
|
Raison sociale |
BPSNAM |
||
|
Tiers payé |
BPRPAY |
||
|
Facture fournisseur |
BPSINV |
||
|
Groupe fournisseur |
BPSGRU |
||
|
Tiers risque |
BPSRSK |
||
|
Transporteur |
BPTNUM |
||
|
Contact par défaut |
CNTNAM |
||
|
BPSUPPMVT |
Mouvements fournisseurs |
Fournisseur |
BPSNUM |
|
Tiers risque |
BPSRSK |
||
|
BSIDUD |
Échéances |
Tiers facturé/cde |
BPR |
|
Tiers payeur |
BPRPAY |
||
|
BSIIMPPAR |
Paramétrage import bancaire |
Compte |
ACCSUSPENSE |
|
Tiers début |
BPRSTR |
||
|
Tiers fin |
BPREND |
||
|
CALLATTEMP |
Tentative d'appel |
Société |
CTTCMP |
|
Interlocuteur |
CTTCCN |
||
|
Représentant |
CTTREP |
||
|
CARAREA |
Régions transporteurs |
Transporteur |
BPTNUM |
|
CARPRICE |
Tarifs transporteur |
Transporteur |
BPTNUM |
|
CASHPAYSPA |
Règlements espèces |
Compte tiers |
BPRNUM |
|
CBNDET |
Détail CBN |
Tiers origine |
BPRNUM |
|
CCMCRORIGC |
Initiateurs clients |
Clients |
BPCNUM |
|
Interlocuteur |
CUSTCONTACT |
||
|
CCMCRORIGE |
Initiateurs externes |
Contact |
EXTCONTACT |
|
CCMCRORIGS |
Initiateurs fournisseurs |
Fournisseur |
BPSNUM |
|
Interlocuteur |
SUPPCONTACT |
||
|
CCMIMPMFGD |
Analyse impact-OF |
Client livré |
BPCNUM |
|
CCMIMPPOD |
Analyse impact-Achats |
Fournisseur |
BPSNUM |
|
CCMIMPPRD |
Analyse impact-Demande achat |
Fournisseur |
BPSNUM |
|
CCMIMPSCD |
Analyse impact-S-traitance |
Fournisseur |
BPRNUM |
|
CCMIMPSOD |
Analyse impact-Commandes ventes |
Client commande |
BPCORD |
|
CCMIMPSQD |
Analyse impact-Devis ventes |
Client commande |
BPCORD |
|
CFGHISHEA |
Entête histo. configurations |
Tiers |
CFGBPRNUM |
|
CFGMEMO |
Configurateur mémo |
Tiers |
CFGBPRNUM |
|
CFODUDDATE |
Gestion des prévisions |
Tiers facturé/cde |
BPR |
|
Tiers payeur |
BPRPAY |
||
|
CFOMANMVT |
Mouvements prévisionnels |
Tiers |
BPRNUM |
|
COMPANY |
Société |
Raison sociale |
CPYNAM |
|
Contact |
CNTNAM |
||
|
Numéro compte bancaire |
BIDNUM |
||
|
Centre taxes |
GERTAXCEN |
||
|
COMREP |
Commissions représentants |
Représentant |
REP |
|
CONCESSION |
En concession |
Concédant |
CCNUSR |
|
CONTACT |
Contacts |
Entité |
BPANUM |
|
Code contact |
CCNCRM |
||
|
Téléphone |
TEL |
||
|
Fax |
FAX |
||
|
|
WEB |
||
|
Portable |
MOB |
||
|
CONTACTCRM |
Interlocuteurs |
Code |
CNTNUM |
|
Nom de famille |
CNTLNA |
||
|
Téléphone |
CNTETS |
||
|
Fax |
CNTFAX |
||
|
Portable |
CNTMOB |
||
|
|
CNTEMA |
||
|
CONTAINER |
Contenant |
Fournisseur |
BPSNUM |
|
CONTCOV |
Couverture contrats de service |
Clients |
BPC |
|
CONTSERV |
Contrat de service |
Client commande |
CONBPC |
|
Client facturé |
CONBPCINV |
||
|
Tiers payeur |
CONBPCPYR |
||
|
Client groupe |
CONBPCGRU |
||
|
Interlocuteur |
CONCCN |
||
|
Représentant |
SALREP |
||
|
CONTSERVX |
Client commande |
CONBPC |
|
|
Client facturé |
CONBPCINV |
||
|
Tiers payeur |
CONBPCPYR |
||
|
Client groupe |
CONBPCGRU |
||
|
Interlocuteur |
CONCCN |
||
|
Représentant |
SALREP |
||
|
CORREP |
Représentant en charge |
Code représentant |
COPREP |
|
CORRESPOND |
Correspondants |
Nom de famille |
LNA |
|
Prénom |
FNA |
||
|
|
HOMEML |
||
|
Téléphone |
HOMTEL |
||
|
Fax |
HOMFAX |
||
|
Portable |
HOMMOB |
||
|
Code |
CNTNUM |
||
|
Tiers |
BPRNUM |
||
|
|
CPYEML |
||
|
Téléphone |
CPYTEL |
||
|
Fax |
CPYFAX |
||
|
Portable |
CPYMOB |
||
|
CRMCLOB |
Fichier texte CRM |
Code interlocuteur |
CRCAINNUM |
|
Compte tiers |
CRCBPRNUM |
||
|
Représentant |
CRCREP |
||
|
CUNSESSION |
Session inventaire |
Tiers début |
BPRNUMSTR |
|
Tiers fin |
BPRNUMEND |
||
|
DADFCY |
Site DAS2 |
Téléphone |
TEL |
|
Adresse e-mail |
|
||
|
DATEVBPACC |
Affectation tiers DATEV |
Compte tiers |
BPRNUM |
|
DCLCUSVATBE |
Listing annuel de clients |
Tiers |
BPR |
|
Raison sociale |
BPRNAM |
||
|
Téléphone |
TEL |
||
|
DCLCUSVATBED |
Tiers |
BPR |
|
|
Raison sociale |
BPRNAM |
||
|
DCLEECVATBE |
Relevé TVA intracommunautaire (en-tête) |
Tiers |
BPR |
|
Raison sociale |
BPRNAM |
||
|
DCLEECVATBED |
Relevé TVA intracommunautaire (détail) |
Tiers |
BPR |
|
DCLVATPORB |
Information base TVA |
Tiers |
BPRNUM |
|
DCLVATPORL |
Lignes déclaration TVA |
Compte tiers |
BPRNUM |
|
DCLVATSPA |
Table de travail taxe (SPA) |
Compte tiers |
BPRNUM |
|
Raison sociale |
BPRNAM |
||
|
DEB |
Déclaration d’échange de biens |
Tiers |
BPRNUM |
|
DMWBPREXC |
Exceptions gestion des déchets |
Tiers |
BPR |
|
DMWSCHEME |
Système de gestion des déchets |
Tiers |
BPR |
|
DMWWEIGHT |
Poids des déchets |
Tiers |
BPR |
|
DOOBPCINT |
Clients internes |
Code client |
BPCNUM |
|
Clients |
BPCNAM |
||
|
DOOBPCLNK |
Association de donneur d'ordre |
Donneur d'ordre |
DOONUM |
|
Nom donneur d'ordre |
DOONAM |
||
|
Clients |
BPCNUM |
||
|
Nom client |
BPCNAM |
||
|
DUDLNK |
Liens échéances |
Tiers |
BPR |
|
EDIBPRCPY |
Flux EDI par tiers / société |
Tiers |
BPRNUM |
|
EDIBPRCPYD |
Tiers |
BPRNUM |
|
|
EDIBPRPAR |
Partenaires EDI par tiers |
Tiers |
BPANUM |
|
EDITRKDOC |
Documents |
Tiers |
BPRNUM |
|
EFASISS |
Evt - Sortie d'actif |
matière |
BUY |
|
ELEAACTU |
Evt - Actualisation contrat |
Bailleur |
LES |
|
ELEACRT |
Evt - Création contrat |
Bailleur |
LES |
|
ELEAEND |
Evt - Fin de contrat |
Bailleur |
LES |
|
ELEAPAY |
Evt - Redevance contrat |
Bailleur |
LES |
|
ELEARPU |
Evt - Levée option achat |
Bailleur |
LES |
|
ELEATRM |
Evt - Résiliation contrat |
Bailleur |
LES |
|
ENVELOPPE |
Enveloppe |
Tiers |
BPRFIN |
|
EVCRESULT |
Résultat contrôle ID TVA intracom |
Numéro de tiers |
BPR |
|
Raison sociale du tiers |
BPRNAM |
||
|
FACILITY |
Sites |
Nom |
FCYNAM |
|
Numéro compte bancaire |
BIDNUM |
||
|
Interlocuteur |
CNTNAM |
||
|
FAMPB |
Famille de compétences |
Clients |
PBLBPC |
|
FAMPBREP |
Collaborateurs compétents |
Nom représentant |
REPNAM |
|
FUP |
Relances effectuées |
Tiers |
BPRFUP |
|
GACCDUDATE |
Échéances |
Tiers facturé/cde |
BPR |
|
Tiers payeur |
BPRPAY |
||
|
GCOMMIT |
Engagements |
Tiers |
BPR |
|
GSTDTL |
Détail GST |
Tiers |
BPR |
|
HISTODUD |
Historique échéances |
Tiers facturé/cde |
BPR |
|
Tiers payeur |
BPRPAY |
||
|
HISTOOMM |
Historique des envois de mailing |
Compte tiers |
BPRNUM |
|
Code interlocuteur |
CCNNUM |
||
|
HONPRV |
Prestataires d'honoraires |
Téléphone |
TEL |
|
Fax |
FAX |
||
|
INTERVEN |
Interventions |
Clients |
BPC |
|
Interlocuteur |
CCN |
||
|
Sous-traitant |
SCONUM |
||
|
Téléphone |
TEL |
||
|
Portable |
MOB |
||
|
Adresse e-mail |
EML |
||
|
ITMBPC |
Article Client |
Clients |
BPCNUM |
|
ITMBPS |
Article fournisseur |
Fournisseur |
BPSNUM |
|
ITMMASTER |
Articles |
Tiers |
CFGBPRNUM |
|
LASTCUSMVT |
Derniers mouvements client |
Tiers du mouvement |
BPCNUM |
|
LASTSUPMVT |
Derniers mouvements fournisseur |
Tiers du mouvement |
BPSNUM |
|
LEAD |
Leads |
Code |
PSTNUM |
|
Superviseur |
PSTREP |
||
|
Raison sociale |
CPYNAM |
||
|
LEASE |
Contrats de location financement |
Bailleur |
LES |
|
MACHINES |
Parc client |
Utilisateur final |
MACCUTBPC |
|
Compte tiers |
BPCNUM |
||
|
Code interlocuteur |
CCNNUM |
||
|
Revendeur |
MACRSL |
||
|
MACITN |
Implantations machines |
Utilisateur final |
BPC |
|
Revendeur |
RSL |
||
|
MANDATE |
Mandats |
Code client |
BPCNUM |
|
Numéro compte bancaire |
BIDNUM |
||
|
MARASSREP |
Portefeuilles représentants |
Représentant |
REPNUM |
|
MARREPSEC |
Affectations des secteurs |
Représentant |
SCTREPSEC |
|
MARSCT |
Secteurs de marché |
Représentant |
MARSCTREP |
|
|
|
Tiers |
BPR |
|
MFGITM |
Ordre fabrication - articles |
Destination |
BPCNUM |
|
MFGOPE |
Ordre fabrication - opérations |
Tiers |
BPRNUM |
|
MFGOPETRK |
Suivi fabrication - opération |
Fournisseur |
BPSNUM |
|
NOTE |
Remarques |
Clients |
BPCNUM |
|
Fournisseur |
BPSNUM |
||
|
OPERATIONS |
En-cours charge |
Fournisseur |
BPSNUM |
|
OPPOR |
Affaire |
Représentant |
OPPREP |
|
Tiers |
OPPCMP |
||
|
Interlocuteur |
OPPMCN |
||
|
ORDCOMP |
Donneur d'ordre |
Compte tiers |
BPRNUM |
|
ORDCOV |
Historique PEC encours |
Tiers |
BPRNUM |
|
COMMANDES |
En-cours |
Tiers |
BPRNUM |
|
PAYVAT |
Régime TVA sur encaissements |
Tiers |
BPRNUM |
|
PBDGEND |
Détails décl balance paiements |
Tiers |
BPR |
|
PDPDET |
Calcul plan directeur détail |
Tiers origine |
BPRNUM |
|
PHONECALL |
Appel |
Tiers |
CLLCMP |
|
Interlocuteur |
CLLCCN |
||
|
Correspondants |
CLLCOR |
||
|
Ligne directe |
CLLETS |
||
|
Portable |
CLLMOB |
||
|
Représentant |
CLLREP |
||
|
|
CLLEML |
||
|
PHYELT |
Éléments physiques |
Fournisseur |
BPS |
|
PINVOICE |
factures d’achat. |
Tiers |
BPR |
|
Tiers payeur |
BPRPAY |
||
|
Raison sociale |
BPRNAM |
||
|
Raison sociale |
BPYNAM |
||
|
Transitaire |
FFWNUM |
||
|
Code tiers SCD |
SPACUSBPR |
||
|
Numéro compte bancaire |
BVRBID |
||
|
PINVOICED |
Factures d'achat détail |
Tiers |
BPR |
|
Fournisseur |
BPSNUM |
||
|
PINVOICEV |
Factures d'achat valorisation |
Tiers |
BPR |
|
Client facturé |
BPCINV |
||
|
PITCOUNT |
Comptage des points |
Clients |
BPC |
|
PITDEB |
Débit de points |
Clients |
BPR |
|
PITDEBD |
Débit de points (Lignes) |
Clients |
BPR |
|
PIWRK |
Traçabilité temporaire pièces |
Tiers |
BPRNUM |
|
Représentant 1 |
REP1 |
||
|
Représentant 2 |
REP2 |
||
|
PJMSOLITMD |
Liste articles vendus |
Clients |
CUSTOMER |
|
PJMSOLITMH |
Gestion articles vendus |
Client commande |
BPCORD |
|
Client facturé |
BPCINV |
||
|
Tiers payeur |
BPCPYR |
||
|
PJMTSKOPE |
Tâches - Opérations |
Tiers |
BPRNUM |
|
PLMPAR |
Paramétrage PLM |
Adresse e-mail |
ADDEML1 |
|
Adresse e-mail |
ADDEML2 |
||
|
PORDER |
Commandes d'achat |
Fournisseur |
BPSNUM |
|
Raison sociale |
BPRNAM |
||
|
Raison sociale |
BPONAM |
||
|
Transporteur |
BPTNUM |
||
|
Tiers payé |
BPRPAY |
||
|
Tiers facturant |
BPSINV |
||
|
Transitaire |
FFWNUM |
||
|
Client commande |
BPCORD |
||
|
PORDERC |
Commandes d'achat cumul av-ret |
Fournisseur |
BPSNUM |
|
Transitaire |
FFWNUM2 |
||
|
PORDERQ |
Commandes d'achat quantités |
Fournisseur |
BPSNUM |
|
Tiers facturant |
BPSINV |
||
|
PORDITM |
Commandes d'achat par article |
Fournisseur |
BPSNUM |
|
PPRICLINK |
Recherche tarifs achat (link) |
Fournisseur |
BPSNUM |
|
Transporteur |
BPTNUM |
||
|
PPRIVARWRK |
État écart prix achat |
Fournisseur |
BPSNUM |
|
Raison sociale |
BPSNAM |
||
|
PQUOTATF |
Appels d'offre détail fournisseur |
Fournisseur |
BPSNUM |
|
Raison sociale |
BPRNAM |
||
|
PRECEIPT |
Entrée |
Fournisseur |
BPSNUM |
|
Raison sociale |
BPONAM |
||
|
Fournisseur facturant |
BPSINV |
||
|
Tiers payé |
BPRPAY |
||
|
Transporteur |
BPTNUM |
||
|
Transitaire |
FFWNUM |
||
|
PRECEIPTD |
Réceptions Détail |
Fournisseur |
BPSNUM |
|
Fournisseur facturant |
BPSINV |
||
|
PREQUISD |
Détail de demande d'achat |
Fournisseur |
BPSNUM |
|
PRESP |
Réponses appels d’offre |
Fournisseur |
BPSNUM |
|
PRESPD |
Réponses appels d’offre détail |
Fournisseur |
BPSNUM |
|
PRETURN |
Retours |
Fournisseur |
BPSNUM |
|
Raison sociale |
BPRNAM |
||
|
Tiers facturant |
BPSINV |
||
|
Tiers payé |
BPRPAY |
||
|
Transporteur |
BPTNUM |
||
|
Transitaire |
FFWNUM |
||
|
PRETURND |
Retours Détail |
Fournisseur |
BPSNUM |
|
Tiers facturant |
BPSINV |
||
|
PROJET |
Affaire |
Tiers |
BPRFIN |
|
PWRKPND |
Détail ligne retour temporaire |
Fournisseur |
BPSNUM |
|
Tiers facturant |
BPSINV |
||
|
PWRKPNH |
Retour temporaire |
Fournisseur |
BPSNUM |
|
Raison sociale |
BPRNAM |
||
|
Fournisseur facturant |
BPSINV |
||
|
Tiers payé |
BPRPAY |
||
|
Transporteur |
BPTNUM |
||
|
Transitaire |
FFWNUM |
||
|
PWRKPOC |
Article-contrat temporaire |
Transitaire |
FFWNUM2 |
|
PWRKPQF |
AOF ADR Fournis. temporaire |
Fournisseur |
BPSNUM |
|
Raison sociale |
BPRNAM |
||
|
PWRKPTH |
Réception temporaire |
Fournisseur |
BPSNUM |
|
Fournisseur facturant |
BPSINV |
||
|
Tiers payé |
BPRPAY |
||
|
Transporteur |
BPTNUM |
||
|
Transitaire |
FFWNUM |
||
|
RBKBELDET |
Détail relevé bancaire belge |
Compte tiers |
BPRNUM |
|
Raison sociale |
BPRNAM |
||
|
Compte en banque |
ACCBAN |
||
|
Compte temporaire |
ACCTMP |
||
|
RBKBELHEA |
Relevé bancaire belge |
Nom du destinataire |
DESTNAM |
|
Numéro compte bancaire |
BIDNUMBAN |
||
|
Nom titulaire compte |
ACCNAM |
||
|
Libellé du compte |
ACCDES |
||
|
RELMT940D |
Fichier FMT940 (Lignes) |
Numéro compte bancaire |
BIDNUM |
|
Tiers |
BPRPAY |
||
|
Tiers facturé |
BPRINV |
||
|
REPSEC |
Commerciaux secondaires |
Code client |
BPCNUM |
|
Code représentant |
REPNUM |
||
|
RESRES |
Réservations de ressources |
Réservé par |
RERREP |
|
RITENZIONE |
Table des codes de retenues |
Caisse |
ACC1 |
|
Compte de charge |
ACC2 |
||
|
RITMVT |
Mouvements retenues |
Tiers |
BPR |
|
RNWPREP |
Renouvellement |
Concédant |
CCNUSR |
|
ROUOPE |
Gamme - opérations |
Tiers |
BPRNUM |
|
ROUOPESTD |
Opérations standards |
Tiers |
BPRNUM |
|
RSLINESGER2 |
Relevé récapitulatif |
Contrepartie |
OFFACC |
|
SALESREP |
Représentant |
Représentant |
REPNUM |
|
Nom de famille |
REPNAM |
||
|
SBGEO |
Zones intervention prestataire |
Code prestataire |
BPRNUM |
|
SBODLINK |
Calcul qté. composant (lien) |
Client commande |
BPCORD |
|
Client facturé |
BPCINV |
||
|
Client groupe |
BPCGRU |
||
|
Tiers payeur |
BPCPYR |
||
|
Transporteur |
BPTNUM |
||
|
SBPBL |
Compétences prestataire |
Code prestataire |
BPRNUM |
|
SCHGH |
En-tête changement stock |
Sous-traitant |
BPSNUM |
|
Clients |
BPCNUM |
||
|
SCOHEAD |
Commande de sous-traitance |
Fournisseur |
BPRNUM |
|
SCOITM |
Fournisseur |
BPRNUM |
|
|
SCOSRV |
Ordre sous-traitance Service |
Fournisseur |
BPRNUM |
|
SCOTRK |
Suivi de sous-traitance |
Fournisseur |
BPRNUM |
|
SDELIVERY |
Entête livraison |
Client commande |
BPCORD |
|
Client facturé |
BPCINV |
||
|
Tiers payeur |
BPCPYR |
||
|
Client groupe |
BPCGRU |
||
|
Nom client livré |
BPDNAM |
||
|
Contact livraison |
CNDNAM |
||
|
Nom du client facturé |
BPINAM |
||
|
Contact facture |
CNINAM |
||
|
Représentant |
REP |
||
|
Transporteur |
BPTNUM |
||
|
Transitaire |
FFWNUM |
||
|
SDELIVERYD |
Livraisons détail |
Client commande |
BPCORD |
|
Représentant 1 |
REP1 |
||
|
Représentant 2 |
REP2 |
||
|
SEARESULT |
Résultat de la recherche |
Code enregistrement |
OBJNUM |
|
SEAUTH |
Autorisations carte crédit |
Clients |
BPCNUM |
|
SEBPC |
Données client de la passerelle de paiement |
Clients |
BPCNUM |
|
Nom |
ACCNAM |
||
|
Adresse e-mail |
|
||
|
SECPST |
Secteurs lead |
Représentant |
SPTREP |
|
SELCMGLIS |
Contenu sélections marketing |
Compte tiers |
BPRNUM |
|
Code représentant |
REPNUM |
||
|
SERREQUEST |
Demandes de service |
Donneur d'ordre |
SREDOO |
|
Clients |
SREBPC |
||
|
Interlocuteur |
SRECCN |
||
|
Client facturé |
SREBPCINV |
||
|
Tiers payeur |
SREBPCPYR |
||
|
Client groupe |
SREBPCGRU |
||
|
Représentant |
SREREP |
||
|
SETXN |
Transactions par carte de crédit |
Nom |
ACCNAM |
|
Adresse e-mail |
|
||
|
Clients |
BPCNUM |
||
|
SHIPDOC |
Documents expédition |
Tiers |
SDBP |
|
SHIPMENT |
Expédition |
Compte tiers |
BPRNUM |
|
Fournisseur |
BPSNUM |
||
|
Transporteur |
BPTNUM |
||
|
SINVOICE |
Factures de ventes |
Tiers |
BPR |
|
Tiers payeur |
BPRPAY |
||
|
Raison sociale |
BPYNAM |
||
|
Raison sociale |
BPRNAM |
||
|
SINVOICED |
Détail facture vente |
Client facturé |
BPCINV |
|
Représentant 1 |
REP1 |
||
|
Représentant 2 |
REP2 |
||
|
SINVOICEV |
Facture vente valorisation |
Client facturé |
BPCINV |
|
Client commande |
BPCORD |
||
|
Client groupe |
BPCGRU |
||
|
Nom du client facturé |
BPINAM |
||
|
Contact facture |
CNINAM |
||
|
Nom client livré |
BPDNAM |
||
|
Contact livraison |
CNDNAM |
||
|
Tiers payeur |
BPRPAY |
||
|
Représentant |
REP |
||
|
Transitaire |
FFWNUM |
||
|
SOI |
Relevés |
Tiers |
BPR |
|
SORDER |
Commandes de vente - en-tête |
Client commande |
BPCORD |
|
Client facturé |
BPCINV |
||
|
Tiers payeur |
BPCPYR |
||
|
Client groupe |
BPCGRU |
||
|
Nom client commande |
BPCNAM |
||
|
Personne à contacter |
CNTNAM |
||
|
Nom du client facturé |
BPINAM |
||
|
Contact facture |
CNINAM |
||
|
Nom client livré |
BPDNAM |
||
|
Contact livraison |
CNDNAM |
||
|
Représentant |
REP |
||
|
Transporteur |
BPTNUM |
||
|
Transitaire |
FFWNUM |
||
|
SORDERC |
Commandes de vente - Cumul A/R |
Client commande |
BPCORD |
|
Transitaire |
FFWNUM |
||
|
SORDERP |
Commandes de vente - Prix |
Client commande |
BPCORD |
|
Contact livraison |
CNDNAM |
||
|
Client facturé |
BPCINV |
||
|
Représentant 1 |
REP1 |
||
|
Représentant 2 |
REP2 |
||
|
SORDERQ |
Commandes de vente - Quantités |
Client commande |
BPCORD |
|
Transporteur |
BPTNUM |
||
|
SPACK |
Colis livraison |
Client commande |
BPCORD |
|
SPPRTCONF |
Définition catalogue tarifs |
Client début |
BPCSTR |
|
Client fin |
BPCEND |
||
|
SPRICLINK |
Recherche tarif vente |
Client facturé |
BPCINV |
|
Client groupe |
BPCGRU |
||
|
Transporteur |
BPTNUM |
||
|
SPRICPRTQ |
Catalogue tarifs ventes |
Client commande |
BPCORD |
|
SQUOTE |
Devis entête |
Clients |
BPCORD |
|
Nom client |
BPCNAM |
||
|
Contact commande |
CNCNAM |
||
|
Nom client livré |
BPDNAM |
||
|
Contact livraison |
CNDNAM |
||
|
Représentant |
REP |
||
|
Transitaire |
FFWNUM |
||
|
SQUOTED |
Détail devis |
Client commande |
BPCORD |
|
Représentant 1 |
REP1 |
||
|
Représentant 2 |
REP2 |
||
|
Contact livraison |
CNDNAM |
||
|
SRETURN |
Entête retour ventes |
Client commande |
BPCORD |
|
Nom client livré |
BPDNAM |
||
|
Contact livraison |
CNDNAM |
||
|
Client facturé |
BPCINV |
||
|
Transitaire |
FFWNUM |
||
|
STOALL |
Allocations |
Tiers |
BPRNUM |
|
STOJOU |
Journal des Stocks |
Tiers |
BPRNUM |
|
STOLOT |
Numéros de lot |
Fournisseur |
BPSNUM |
|
STOPREH |
Entête bon préparation |
Client commande |
BPCORD |
|
Transporteur |
BPTNUM |
||
|
STOPRELIS |
Liste de préparation d'expédition |
Client commande |
BPCORD |
|
Transporteur |
BPTNUM |
||
|
STOPRELISW |
Listes préparation travail |
Client commande |
BPCORD |
|
Transporteur |
BPTNUM |
||
|
STOPREW |
Bons préparation travail |
Client commande |
BPCORD |
|
Client facturé |
BPCINV |
||
|
Transporteur |
BPTNUM |
||
|
STOQUAL |
Contrôle qualité |
Tiers |
BPRNUM |
|
STOREO |
Réappro |
Tiers |
BPRNUM |
|
STOSER |
Numéros de séries |
Clients |
BPCNUM |
|
STOSRG |
Stockage |
Tiers |
BPRNUM |
|
STOSYNW |
Travail resynchro stocks |
Tiers |
BPRNUM |
|
STOTRK |
Traçabilité |
Tiers |
BPRNUM |
|
SUBCONT |
Prestataire |
Compte tiers |
BPRNUM |
|
SVCRINVCND |
Échéance de facturation |
Client commande |
BPCORD |
|
Client facturé |
BPCINV |
||
|
SWIIMPBVR |
Import fichier BVR suisse |
Tiers |
BPR |
|
SWIIMPTMP |
Import fichier BVR suisse (temp.) |
Tiers |
BPR |
|
SWRKDLV |
Livraisons automatiques |
Client commande |
BPCORD |
|
Client facturé |
BPCINV |
||
|
TABACCINT |
Mappage comptes inter-sociétés |
Débit source |
ACCSRCDEB |
|
Crédit source |
ACCSRCCDT |
||
|
Débit cible |
ACCTGRDEB |
||
|
Crédit cible |
ACCTGRCDT |
||
|
Tiers origine |
BPRSRC |
||
|
Tiers cible |
BPRTGR |
||
|
TABPLACE |
Lieu de transit |
Fournisseur |
BPSNUM |
|
TABPLACETIME |
Délai transport |
Transporteur |
BPTNUM |
|
TABVATEXE |
Table des exonérations de taxe |
Clients |
BPCNUM |
|
TASK |
Tâche |
Tiers |
TSKCMP |
|
Interlocuteur |
TSKCCN |
||
|
Correspondants |
TSKCOR |
||
|
Représentant |
TSKREP |
||
|
TAUTILIS |
Utilisateurs SAFE X3 WAS |
Tiers |
BPRNUM |
|
|
|
||
|
TAXLINK |
Calcul base calcul taxe (link) |
Tiers |
BPRNUM |
|
TDSPRV |
Cumul honoraires/prestataires |
Tiers |
BPRNUM |
|
TMP2855 |
Table temporaire Liasse fiscale 2855 |
Raison sociale |
CPYNAM |
|
TMPCNSBAN |
Consultation de banque |
Tiers |
BPR |
|
Numéro compte bancaire |
BID |
||
|
TMPCNVECAR |
Table temporaire écart conv. |
Tiers |
BPR |
|
TMPCSRQ |
Besoins temporaires trésorerie |
Tiers facturé |
BPR |
|
Nom |
BPRNAM |
||
|
TMPEXPENSE |
Table temporaire Frais |
Tiers divers |
EXPBPR |
|
TMPFUP0 |
Critères campagne |
Client début |
No client début permettant de sélectionner les enregistrements à traiter |
|
Client fin |
No client fin permettant de sélectionner les enregistrements à traiter |
||
|
Client groupe |
BPCGRU |
||
|
Tiers risque |
BPCRSKSTR |
||
|
Tiers risque |
BPCRSKEND |
||
|
Représentant début |
REPDEB1 |
||
|
Représentant fin |
REPFIN1 |
||
|
Représentant début |
REPDEB2 |
||
|
Représentant fin |
REPFIN2 |
||
|
Représentant début |
REPDEB |
||
|
Représentant fin |
REPFIN |
||
|
TMPFUP1 |
Tiers à relancer |
Tiers facturé/cde |
BPC |
|
TMPFUP2 |
Échéances à relancer |
Tiers |
BPC |
|
TMPLEARNT |
Table temporaire |
Raison sociale |
CPYNAM |
|
TMPLOFGRP |
Table temporaire |
Raison sociale |
CPYNAM |
|
Nom |
FCYNAM |
||
|
Fournisseur |
BPR |
||
|
TMPMASLEA |
Table temp actions contrats |
Bailleur |
LES |
|
TMPPAYDUD |
Table tempo proposition règlt |
Tiers |
BPR |
|
Numéro compte bancaire |
BID |
||
|
TMPPAYDUD2 |
Tiers |
BPR |
|
|
Raison sociale |
BPRNAM |
||
|
TRANNOTEH |
Bon de transport |
Tiers |
BPRNUM |
|
Nom client livré |
BPDNAM |
||
|
Contact livraison |
CNDNAM |
||
|
Expéditeur |
SHIFRMNAM |
||
|
TRANSPORT |
Transport |
Transporteur |
BPTNUM |
|
Compte tiers |
BPRNUM |
||
|
UNFILWRK |
État carnet de commandes |
Client commande |
BPCORD |
|
UPORDER |
Histo. commandes d'achat |
Fournisseur |
BPSNUM |
|
Raison sociale |
BPRNAM |
||
|
Raison sociale |
BPONAM |
||
|
Transporteur |
BPTNUM |
||
|
Tiers payé |
BPRPAY |
||
|
Facture fournisseur |
BPSINV |
||
|
Transitaire |
FFWNUM |
||
|
Client commande |
BPCORD |
||
|
UPORDERQ |
Histo. cdes d'achat qtés |
Fournisseur |
BPSNUM |
|
Tiers facturant |
BPSINV |
||
|
VATLINITMGER |
Éléments ligne TVA allemande |
Tiers |
BPR |
|
VSORDER |
Histo. cdes de vente - Entête |
Client commande |
BPCORD |
|
Client facturé |
BPCINV |
||
|
Client payeur |
BPCPYR |
||
|
Client groupe |
BPCGRU |
||
|
Nom client commande |
BPCNAM |
||
|
Personne à contacter |
CNTNAM |
||
|
Nom du client facturé |
BPINAM |
||
|
Contact facture |
CNINAM |
||
|
Nom client livré |
BPDNAM |
||
|
Contact livraison |
CNDNAM |
||
|
Représentant |
REP |
||
|
Transporteur |
BPTNUM |
||
|
Transitaire |
FFWNUM |
||
|
VSORDERC |
Histo. cdes de vente-Cumul A/R |
Client commande |
BPCORD |
|
Transitaire |
FFWNUM |
||
|
VSORDERP |
Histo. cdes de vente - Prix |
Client commande |
BPCORD |
|
Contact livraison |
CNDNAM |
||
|
Client facturé |
BPCINV |
||
|
Représentant 1 |
REP1 |
||
|
Représentant 2 |
REP2 |
||
|
VSORDERQ |
Histo. cdes de vente - Qtés. |
Client commande |
BPCORD |
|
Transporteur |
BPTNUM |
||
|
WAREHOUSE |
Dépôts |
Nom |
WRHNAM |
|
WARFLYER |
Coupons de garantie |
Nom du site |
BPANAM |
|
WARREQCPN |
Lignes demandes de garantie |
Revendeur |
RSL |
|
WARREQUEST |
Demandes de garantie |
Clients |
BPC |
|
Interlocuteur |
CCN |
||
|
WHTDTL |
Détail retenue à la source |
Tiers |
BPR |
|
WSTOALL |
Allocations |
Tiers |
BPRNUM |
|
WSTOREO |
Réappro |
Tiers |
BPRNUM |
|
Table |
Description |
Description |
Champ |
|
AIN |
Interlocuteur |
|
|
|
AUS |
Utilisateur |
|
|
|
BID |
Numéro compte bancaire |
|
|
|
BPA |
Adresse |
|
|
|
BPC |
Clients |
|
|
|
BPR |
Tiers |
|
|
|
BPS |
Fournisseur |
|
|
|
BPT |
Transporteur |
|
|
|
COR |
Correspondants |
|
|
|
E164TEL, TEL, TELTC |
Numéros de téléphone/fax |
|
|
|
FNA |
Prénom |
|
|
|
GAC |
Compte (général ou individuel) |
|
|
|
LDS |
Lead |
|
|
|
MAI |
Adresse e-mail |
|
|
|
NAM |
Nom |
|
|
|
REP |
Représentant |
|
|
Dans les modules Sage X3 HR & Payroll, les types de données standard associés aux fiches de base de données personnelles se présentent de la façon suivante :
|
Type de données |
Description |
|
EML |
Matricule |
Les champs, le contenu et la localisation se présentent de cette façon :
|
Table |
Description |
Champ |
Description |
Types de données |
|
EMPLOID |
État civil |
REFNUM |
Matricule |
EML |
|
SRN |
Prénom |
A |
||
|
NAM |
Nom |
A |
||
|
CIV |
Titre |
C |
||
|
PSD |
Pseudo |
NAM |
||
|
DATBRN |
Date de naissance |
D |
||
|
EMPPIC |
Cliché |
Fichier image ABB |
||
|
SEX |
Sexe |
M |
||
|
NTT |
Code nationalité |
CRY |
||
|
CRYNAM |
Nom pays |
NCY |
||
|
CTYBRN |
Commune |
A |
||
|
ADD1/ADD2/ADD3 |
Adresse |
ADL |
||
|
CTY |
Ville |
CTY |
||
|
CODPOS |
Code postal |
POS |
||
|
TEL |
Téléphone |
TEL |
||
|
MOB |
Portable |
TEL |
||
|
FAX |
Fax |
TEL |
||
|
EML |
|
A |
||
|
NAMCNT |
Personne à contacter : Nom |
NAM |
||
|
SRNCNT |
Personne à contacter : Prénom |
NAM |
||
|
TELCNT |
Personne à contacter : Téléphone |
TEL |
||
|
MOBCNT |
Personne à contacter : Portable |
TEL |
||
|
EMLCNT |
Personne à contacter : E-mail |
A |
||
|
EMPLOCHD |
Enfants |
CHDNAM |
Nom |
A |
|
CHDSRN |
Prénom |
A |
||
|
CHDSEX |
Sexe |
M |
||
|
DATCHDBRN |
Date de naissance |
D |
||
|
EMPLOJNT |
Conjoints (>1) |
SSITFAM |
Situation familiale |
C |
|
SJNTREFNUM |
Matricule conjoint |
MAT |
||
|
SJNTNAM |
Nom conjoint |
A |
||
|
SJNTSRN |
Prénom |
A |
||
|
SJNTDATBRN |
Date de naissance |
D |
||
|
SJNTTEL |
Téléphone |
TEL |
||
|
EMPLOAD |
Informations administratives |
FLGHDC |
Travailleur handicapé |
M |
|
HDC |
Taux de handicap |
DCB |
||
|
EMPLORIB |
Données bancaires |
BIDNUM |
Numéro compte bancaire |
BID |
|
EMPLOMED |
Visites médicales |
MEDDCT |
Médecin |
A |
Principes de sécurité
Pour réduire les risques d'atteinte à la sécurité des données, et sanctions associées, certains principes de sécurité de base sont préconisés. Cette section vous présente ces principes, mais il est recommandé de prendre connaissance de la totalité du document pour une bonne compréhension des principes de sécurité.
Disponible à partir des versions V11.0.8, GX V11.0.6, V12.0.14, HR V12.0.8, GX V12.0.19 et 2018 R3. Si vous utilisez une autre version de la solution, reportez-vous à la documentation spécifique à cette version.
Principes essentiels
Le client est seul responsable de garantir la sécurité du système et du réseau. Pour vous accompagner dans cette tâche, la plateforme de la solution vous propose un ensemble de règles essentielles :
- Des navigateurs web standard et des protocoles HTTP ou HTTPS sont utilisés. La technologie web fournit un premier niveau d'isolation entre le serveur web et le poste de travail.
- Les mots de passe ne sont pas transférés sur le réseau. Le système d'authentification s'appuie sur des standards. Il peut s'agir d'un identifiant Windows contrôlé dans un répertoire LDAP, ou d'une authentification Oauth2 (une redirection est effectuée vers le serveur d'authentification). Dans une logique de simplicité (ou pour des serveurs de démo autonomes), une solution de repli est disponible, s'appuyant sur des utilisateurs et mots de passe chiffrés stockés dans le serveur web de la solution. Cependant, elle n'est pas recommandée pour les environnements de production.
- La connexion entre le serveur web et le serveur de la Solution est assurée par des certificats créés lors de l'installation par une autorité de certification privée.
- La gestion des droits s'effectue au niveau du service et dépend des profils fonction attribués à l'utilisateur. Il est possible de gérer les permissions au niveau élémentaire, sur une fonction, une action, voire un champ. Vous pouvez, par exemple, masquer les informations selon le rôle de l'utilisateur.
- L'accès au serveur par les traitements de la Solution est restreint à une liste blanche de répertoires autorisés.
- Au niveau du serveur web de la solution, node.js et MongoDB ne nécessitent pas que tous les traitements et/ou services soient de type "root" ou qu'ils soient associés à des droits d’administrateur.
La gestion des mots de passe a ainsi évolué à partir des versions postérieures à la V7.1 : les règles de sécurité relatives aux mots de passe sont désormais gérées par le fournisseur de votre choix (Google, LDAP).
Paramètres de sécurité
Le serveur web Syracuse utilise des paramètres différents pour configurer la sécurité. La configuration s'appuie sur une section de sécurité dédiée dans le fichier nodelocal.js.
En-têtes HTTP
Clickjacking
Le serveur est protégé contre le détournement de clic, ou clickjacking, grâce à l'ajout de paramètres d'en-tête x-frame-options : En-tête HTTP DENY.
Si, pour quelconque raison, vous avez besoin d'intégrer le site dans un iFrame, vous pouvez prendre la responsabilité de le faire en écrasant la configuration par défaut, de la façon suivante :
exports.config = { security: { http: { headers: { // activer 'x-frame-options' pour autoriser l'inclusion dans un autre site via iframe // 'x-frame-options': 'allow-from http://other-site', 'x-frame-options': 'SAMEORIGIN', // la valeur par défaut est 'DENY' }, }, }, };
Avant la version U9.0.3, l'en-tête était directement placé sous le HTTP, de la façon suivante :
exports.config = { security: { http: { // activer 'x-frame-options' pour autoriser l'inclusion dans un autre site via iframe // 'x-frame-options': 'allow-from http://other-site', // 'x-frame-options': 'SAMEORIGIN', 'x-frame-options': 'DENY' // valeur par défaut }, }, };
XSS et autres en-têtes de défense
Tous les en-têtes présents dans la propriété des en-têtes font partie de la réponse. Par défaut, les éléments suivants sont ajoutés :
x-content-type-options: nosniff: Empêche le sniffing sur Internet Explorer ou Google Chrome.x-xss-protection: 1; mode=block: Active le filtre Cross-site scripting (XSS) intégré aux versions les plus récentes des navigateurs.content-security-policy: frame-ancestors 'self': Nouveau standard contre le clickjacking autorisant uniquement votre site.
L'en-tête content-security-policy définit un certain nombre d'instructions que vous pouvez utiliser pour contrôler ce que le navigateur est autorisé à lire. Ces instructions incluent par exemple :
script-src: Faire confiance uniquement aux sources de scripts présentes dans la liste.child-src: Faire confiance uniquement au contenu incorporé présent dans la liste. Cette instruction contrôle ce qui peut être ajouté à un iFrame.frame-ancestors: Cette instruction est similaire à l'en-tête x-frame-options, mais si les deux existent, les spécifications W3C préconisent l'utilisation de frame-ancestors.
Ces instructions peuvent être modifiées en tant que sous-propriétés de content-security-policy, de la façon suivante :
exports.config = { security: { http: { headers: { "content-security-policy": { "child-src": ["'self'", "www.w3schools.com" ] }, }, }, };
HTML5 Rocks propose un tutoriel très utile sur le sujet.
Sécurité du contenu
L'interface utilisateur peut inclure du contenu extérieur grâce à l'utilisation de l'élément iFrame. Si ce type d'intégration de contenu peut représenter un risque pour la sécurité du site, vous pouvez réduire ce risque en ajoutant l'attribut 'sandbox' à la balise HTML iFrame.
Attribut sandbox dans iFrame
Les vignettes HTML prévoient trois niveaux de sécurité (faible, modéré, élevé) en fonction de ce que vous souhaitez autoriser.
Ces niveaux déterminent l'attribut sandbox utilisé :
- low : "allow-same-origin allow-forms allow-popups allow-scripts"
medium: "allow-forms allow-scripts"high: ""
Personnalisation de l'attribut sandbox
Vous pouvez modifier les valeurs par défaut des trois niveaux de sécurité en modifiant la section de sécurité du fichier nodelocal.js.
exports.config = { security: { client: { iframe: { sandbox: { // allow- forms Active la soumission de formulaires // allow-pointer- lock active les APIs du pointeur (ex : position du pointeur) // allow- popups Active les popups // allow-same- origin Permet de traiter le contenu iframe comme provenant de la même origine // allow- scripts active les scripts // allow-top- navigation Permet au contenu iframe de naviguer vers le contexte de navigation de niveau supérieur // low: null, // Si 'null' aucun attribut sandbox n'est ajouté (non recommandé) // medium: null, // Si 'null' aucun attribut sandbox n'est ajouté (non recommandé) // medium: "", medium: "allow-same-origin allow-forms allow-scripts", // high: "" } } }, }, };
En combinant l'attribut sandbox et l'instruction child-src de content-security-policy, vous gagnez en contrôle sur ce que le navigateur est autorisé à afficher.
Bonnes pratiques de sécurité
La sécurité est devenue un point d'attention majeur dans la conception et le développement de la solution. C'est la raison pour laquelle la solution a été auditée et certifiée par une autorité extérieure, garantissant la sécurité des opérations dans le cloud.
La moindre faille finit toujours par compromettre toute une politique de sécurité. Il est donc extrêmement important de prêter la plus grande attention à la sécurité de votre système, et d'exploiter tous les outils à votre disposition pour assurer cette sécurité.
Ce document résume les éléments clés auxquels vous devez faire attention au moment de déployer la solution.
Règles générales de sécurité
Sécuriser l'architecture on-premises de votre solution n'est pas une opération facultative. Des données personnelles ou sensibles comme les informations client, les enregistrements financiers, ou les informations sur votre personnel, sont stockées dans votre logiciel d'entreprise. Ces données peuvent être stockées sur vos propres serveurs si vous possédez des systèmes internes, ou en dehors de vos locaux si vous faites appel à des services de cloud computing.
En utilisant Sage X3 cloud, vous êtes sûrs de garantir un niveau maximum de sécurité à vos données, sans avoir besoin d'intervenir. Cependant, si vous choisissez d'installer la solution sur une instance on-premises, ou si vous l'hébergez chez un fournisseur cloud hors du réseau Sage, veuillez noter que certaines règles doivent être respectées. Il est important d'adopter une approche multi-niveau, et éprouvée dans le secteur, pour vous assurer de conserver vos données où elles se trouvent, et de les sécuriser au maximum. Ce document décrit les contrôles principaux qu’il est conseillé de mettre en place pour sécuriser vos données.
Règles générales
Utilisez toujours HTTPS si votre serveur est visible sur Internet
La solution est une application web accessible depuis une connexion HTTP ou HTTPS. S’il est possible d'utiliser un accès HTTP, nous vous recommandons d'utiliser systématiquement HTTPS, surtout si votre solution est accessible depuis le réseau internet public.
Utilisez des mots de passe forts
Après le paramétrage de l'application, modifiez le mot de passe administrateur par défaut et remplacez-le par un mot de passe fort. Dans l'idéal, ce mot de passe doit :
- Contenir six caractères minimum (plus le mot de passe est long, plus il est fort).
- Combiner des chiffres, lettres, minuscules, majuscules, et symboles (par exemple @ # $ % ! ? &, etc.
- Ne pas contenir de mots présents dans le dictionnaire ou utilisés dans le nom de l'utilisateur.
- Ne pas correspondre à une suite de touches clavier comme "azerty".
- Ne pas contenir votre date de naissance.
Utilisez toujours une méthode d'authentification avancée sur une instance de production
La solution propose plusieurs services avancés (comme LDAP ou OAuth2) qu'il convient d'utiliser pour l'authentification d'utilisateurs sur des instances de production, et toute autre instance contenant des données sensibles. Se reporter à la documentation sur le paramétrage de l'authentification avancée pour plus de détails.
Il n'est pas recommandé d'utiliser une authentification de base (identifiant/mot de passe), sauf pour les instances utilisées à des fins de test ou de déploiement. Cependant, même dans ce dernier cas, il faudra vous assurer que l'instance utilisée ne contient pas des données sensibles, toute authentification de base vous exposant à des menaces intérieures et extérieures.
Sécurisez vos serveurs avec des droits d'accès restreints
Les serveurs qui hébergent les composants de la solution contiennent des fichiers de configuration et autres données vulnérables face aux menaces intérieures. Les administrateurs doivent être les seules personnes autorisées à se connecter aux serveurs. Assurez-vous d'affecter des utilisateurs à l'administration de la solution, et de leur attribuer les droits d'accès suffisants aux répertoires requis.
Les serveurs de la solution répondent aux standards du secteur, disponibles en libre accès.
Utilisez des pares-feux locaux
Utilisez des pares-feux locaux sur vos serveurs pour bloquer les ports IP qui n'ont aucune utilité pour le fonctionnement de la solution ou l'accès des utilisateurs. En général, si tous les composants de la solution sont installés sur le même serveur, la solution ne requiert que les ports HTTP ou HTTPS. Pour les installations multiserveurs, vous devez ouvrir les ports (ou ensembles de ports) que les composants de la solution utilisent pour communiquer.
Créer une architecture internet sécurisée
La clé de votre sécurité est votre architecture, en particulier si votre système est accessible depuis le réseau internet public. Pour connecter vos systèmes et les rendre accessibles depuis Internet, vous devez choisir :
- quels serveurs et ports doivent être visibles par le monde extérieur,
- combien de requêtes de l'extérieur sont interceptées, traduites et redirigées vers ces serveurs et ports (si applicable).
Pour cela, vous aurez besoin :
- d'un pare-feu, intermédiaire entre votre réseau interne et Internet, permettant d'intercepter les requêtes entrantes et de les retransmettre aux serveurs concernés de votre réseau, ou
- d'une zone démilitarisée ou DMZ, qui correspond à une zone de réseau logique ou physique permettant d'isoler votre LAN du réseau internet.
Le pare-feu est comme un garde, posté à chaque point de contrôle de votre zone démilitarisée.
Paramétrages de pare-feu recommandés si votre instance est visible sur le réseau internet public
La solution met en œuvre un ensemble de composants qui communiquent entre eux par le biais de ports IP. Le seul port auquel les utilisateurs peuvent souhaiter accéder pour utiliser la solution est le port HTTP, ou HTTPS (8124 ou 843 par défaut). Tous les autres ports peuvent (et doivent) être protégés contre les tentatives d'accès depuis l'extérieur, en particulier si le serveur est accessible depuis Internet. Le port MongoDB (27017 par défaut) et le port Elasticsearch (9200 par défaut) sont des exemples de ports qui ne doivent pas être disponibles à l'accès.
Dans l'idéal, le port HTTPS de votre solution ne doit pas être atteignable directement depuis le réseau internet public, mais via une zone DMZ et un proxy inverse comme sur l'exemple suivant :
Vous pouvez également exposer uniquement le serveur web (Syracuse), en protégeant tous les ports sauf le port HTTPS, et en utilisant le service d'authentification le plus élevé possible (et non basique). Tous les autres serveurs seront ensuite placés sur votre LAN de façon sécurisée.
Détails sur la mise en œuvre de la sécurité
Authentification
La Solution est compatible avec plusieurs fournisseurs d'identité, tels que :
- LDAP (installations on-premises uniquement)
- Oauth2 (via un compte Gmail ou Microsoft)
- Sage ID
Le recours à des fournisseurs permet d'améliorer la sécurité en se déchargeant de la gestion des identifiants utilisateur qui transitent ainsi hors de la solution ERP (si associée à un fournisseur Oauth2 ou Sage ID). Cela permet également d'améliorer l'expérience utilisateur en proposant une expérience d'authentification unique (ou SSO).
Autorisation
Sur la plateforme web
Après authentification, les utilisateurs sont connectés à la plateforme sur un compte utilisateur. Chaque utilisateur appartient au moins à un groupe, et chaque groupe est associé à un rôle.
Lors de la connexion, l'utilisateur peut sélectionner un rôle dans la liste des rôles autorisés. Ce rôle est lié à un profil de sécurité associé à un niveau (de 0 à 99, 0 étant le niveau le plus élevé).
Le profil de sécurité définit les privilèges d'un utilisateur sur les opérations de la plateforme. Assurez-vous d'affecter à chaque utilisateur un ensemble de rôles correspondants à des profils de sécurité appropriés. En tant qu'administrateur de la plateforme, vous pouvez définir autant de rôles et de profils de sécurité que nécessaire.
Un profil de sécurité peut autoriser jusqu'à 12 privilèges ; les suivants peuvent présenter des risques pour la sécurité :
- myProfile permet aux utilisateurs de modifier des informations liées à leur propres données d'identification (nom, mot de passe, adresse e-mail, photo). Les utilisateurs ont également des droits de lecture sur leur propre contexte (sessions qu'ils ont ouvertes, points de connexion auxquels ils ont accès, etc.). Cet accès peut être donné à la plupart des utilisateurs.
- users autorise la définition de nouveaux utilisateurs : ce privilège doit uniquement appartenir aux administrateurs plateforme. Cependant, des droits de modification peuvent être donnés à certains utilisateurs clés. Ils ont ainsi le droit de modifier des informations associées à des utilisateurs possédant un profil de sécurité plus faible.
- technicalSettings autorise l'accès à la configuration technique (points de connexion, $$PRODUCT solutions, etc.). Cet accès doit uniquement être autorisé aux personnes responsables de l'administration technique de la plateforme.
- development autorise l'accès aux ressources à des utilisateurs travaillant sur l'extension du standard via des développements verticaux ou personnalisés.
Sur les dossiers
Un dossier est un répertoire contenant les données métier liées à une ou plusieurs sociétés possédant un ou plusieurs sites (chaque société est liée à un code législation). Un dossier est identifié comme un point de connexion sur la plateforme. Les groupes permettent d'indiquer les points de connexion autorisés pour un utilisateur donné. Cette liste peut présenter des risques pour la sécurité.
Un utilisateur qui se connecte à la plateforme est identifié par un code utilisateur dans chaque dossier. Par défaut, le code de l'utilisateur et le compte de connexion de l'utilisateur sont identiques. Cependant, il est possible de redéfinir le code utilisateur pour chaque point de connexion dans la page d'administration de l'utilisateur.
Dans chaque dossier, vous pouvez paramétrer l'accès aux informations à un niveau très détaillé :
- Un utilisateur possède un profil fonction et peut ainsi avoir des droits de lecture, écriture, suppression, et d'exécution sur chacune des fonctions. Si la fonction contient des données relatives à des sociétés ou sites, les autorisations peuvent être paramétrées différemment sur chacune des sociétés et/ou sites.
- Les permissions de niveau de ligne permettent de filtrer les données de n'importe quelle propriété. Par exemple, un utilisateur est uniquement autorisé à accéder aux commandes associées à une liste de clients donnée.
- Les codes d'accès permettent de restreindre l'accès à des enregistrements ou à des propriétés, pour que seuls les utilisateurs sélectionnés soient autorisés à les visualiser ou à les modifier.
- L'accès à certains états peut être filtré en utilisant des codes d'accès sur chaque utilisateur et sur chaque état. Veuillez noter qu'il est plus simple de procéder par groupe et de fournir des droits à chaque groupe.
Grâce à ces fonctionnalités, vous pouvez ainsi paramétrer divers types d'accès aux données critiques pour un dossier et un utilisateur donnés.
Chaque dossier prévoit un code d'utilisateur administrateur principal. Ce code est ADMIN par défaut, mais le paramètre ADMUSR - Super-utilisateur (chapitre SUP, groupe SEC) vous permet de le modifier. N'utilisez ce code que pour les tâches qui le nécessitent.
Sécurité réseau
La solution étant exécutée sur un ensemble de serveurs logiques ou physiques connectés via un serveur principal, la sécurité de ce réseau est d'une importante cruciale. Les bonnes pratiques en matière de sécurité réseau sont les suivantes :
- Ouvrir l'accès uniquement aux serveurs sur les ports requis pour une utilisation standard. Par exemple, ouvrez uniquement les ports HTTP (80 par défaut) et HTTPS (443 par défaut) sur le serveur qui exécute "node.js".
- Installez et configurez des pares-feux et tous les outils nécessaires pour garantir la sécurité physique.
- Les connexions client peuvent être exécutées en HTTP ou HTTPS. Il est très fortement conseillé d'utiliser HTTPS si l'appareil connecté accède au serveur web via Internet.
- Afin de sécuriser la connexion entre les différents environnements, la solution utilise des certificats, générés lors de l'installation à partir d'un certificat principal. La clé privée de ce certificat principal doit être conservée en sécurité sur un ordinateur auquel l'accès est limité.
Sécurité des bases de données
Les bases de données doivent être sécurisées selon les principes listés ci-dessous.
Base de données relationnelle
Le serveur sur lequel la base de données relationnelle est installée ne doit pas être exposé au réseau.
Seul le serveur de la solution (application/exécution) et le serveur de rapports peuvent accéder au système de gestion de base de données relationnelle (RDBMS). Les serveurs d'exécution et de rapports sont des proxies qui récupèrent les données demandées par des services externes. Ne paramétrez jamais la connexion entre la base de données et la plateforme à partir du compte administrateur de la base de données. Ce compte est uniquement requis pour certaines étapes de configuration et peut être modifié ultérieurement.
Base de données MongoDB
Les serveurs sur lesquels la base de données de documents est installée ne doivent pas être exposés au réseau. Seul le serveur web (node.js) requiert un accès à la base de données MongoDB.
Moteur de recherche
Les serveurs sur lesquels Elasticsearch est installé ne doivent pas être exposés au réseau. Elasticsearch doit uniquement être accessible depuis les serveurs "node.js". La plateforme de la solution envoie la requête à Elasticsearch en appliquant des filtres de sécurité additionnels, selon les privilèges de l'utilisateur. Si vous bénéficiez d'un accès direct au serveur Elastisearch, vous pouvez contourner ces filtres de sécurité, mais cela compromet la sécurité car toutes les données indexées concernées sont renvoyées.
Sécurité du système de fichiers
La sécurité du système de fichiers des différents serveurs doit être mise en place en utilisant les outils adaptés (antivirus, sécurité de l'accès réseau, etc.) au niveau approprié. Assurez-vous que ces outils ne causent pas des problèmes de performance. Par exemple, évitez d'exécuter un scan antivirus en continu sur le serveur de base de données.
Sur les serveurs d'application et de traitement, le moteur de la solution est exécuté dans une sandbox. Cela vous permet de contrôler les commandes système lancées et l'emplacement de lecture, création, modification ou suppression des fichiers. Cela permet également d'éviter qu'un code malveillant programmé pour le moteur d'exécution lance des commandes système (via des instructions système).
Il est recommandé d'ajuster les paramètres de la sandbox, en particulier si vous utilisez une solution cloud, ou si le code de la solution est fourni par des prestataires externes.
Règles de développement
La solution est livrée avec un plan de travail de développement permettant de créer des développements personnalisés. Cela peut vous exposer à des menaces de sécurité supplémentaires que vous pouvez résoudre en suivant ces bonnes pratiques :
Injection SQL
Le langage de la solution inclut des fonctions ExecSQL et SQL, et un argument pouvant être calculé. Toutes les données permettant de créer des instructions SQL doivent être protégées par des séquences d'échappement.
Injection HTML
Ce problème de sécurité peut uniquement survenir quand des composants graphiques sont ajoutés à l'interface utilisateur. Pour le moment, l'outil d'extensibilité est uniquement disponible pour les early adopters. Des règles de sécurité détaillées sont fournies aux développeurs, mais cela dépasse le cadre du présent document. Un audit de sécurité dédié est effectué sur les composants additionnels obtenus auprès de fournisseurs externes pour éviter ce risque.
Audit
La Solution inclut un ensemble d'outils que vous pouvez activer en production. Cette pratique est conseillée après une période d'opération, en utilisant les outils suivants :
- Une piste d'audit pour l'ensemble des opérations. Le paramètre qui permet d'activer cette piste d'audit est le paramètre TABTRA. Selon la valeur de ce paramètre, vous pouvez définir un enregistrement sur toutes les opérations, ou uniquement sur les opérations de suppression ou de renommage. Il peut être défini au niveau utilisateur, ou globalement.
- Une collection d'audit : elle peut être configurée pour les données administratives depuis MongoDB (à partir de la V12).
- Déclencheurs de bases de données (triggers). Ils peuvent être paramétrés sur des tables pour enregistrer les anciennes et nouvelles valeurs de colonnes spécifiques, en fonction de conditions simples.
- Un moteur de workflow. Il peut stocker toutes les informations liées à des événements déclencheurs paramétrables selon diverses conditions dans une table d'historisation.
Règles de conservation des données
Toutes les règlementations locales imposent des durées légales de conservation des données en ce qui concerne les données en général, mais aussi les transactions et les états.
Vous trouverez ici, à des fins d'information, des exemples de durées légales de conservation s'appliquant aux pays où la solution est utilisée.