Homologación Prestadores EDI - El lenguaje mundial de los

Manual para la Homologación de Prestadores de Servicios EDI Diciembre 2012 - v2

Manual para la Homologación de Prestadores de Servicios EDI

Contenido 1.

Manual para la Homologación de Prestadores de Servicios EDI .............................................................................................. 5 1. Introducción ...................................................................................................................................................................................................................................................... 5 2. Objetivo................................................................................................................................................................................................................................................................. 5 3. Aspectos generales ...................................................................................................................................................................................................................................... 5 4. Proceso de validación.................................................................................................................................................................................................................................. 6 4.1.Asociación del Prestador de Servicios EDI a GS1 Argentina.................................................................................................................................... 7 4.2. Presentación de la Documentación requerida ............................................................................................................................................................. 7 4.3. Entrevista de Verificación ............................................................................................................................................................................................................ 8 4.4. Emisión de observaciones .......................................................................................................................................................................................................... 8 4.5. Feedback del proceso ................................................................................................................................................................................................................... 8 4.6. Publicación de los resultados .................................................................................................................................................................................................. 9

2.

Anexo I ............................................................................................................................................................................................... 10 Requerimientos para la homologación.............................................................................................................................................................................................. 10

3.

Anexo II .............................................................................................................................................................................................. 25 Diagrama de Secuencia y Reglas de Servicio ...................................................................................................................................................................................25 1. Introducción ................................................................................................................................................................................................................................................... 25 Contexto y objetivo............................................................................................................................................................................................................................... 25 2. Diagrama de Secuencia .......................................................................................................................................................................................................................... 26 Modelo de Servicio EDI con un único Prestado de Servicio........................................................................................................................................ 26 Modelo de Servicio EDI con dos Prestadores de Servicio ............................................................................................................................................. 27 Detalle del Diagrama de Secuencia ........................................................................................................................................................................................... 28

4.

Anexo III ............................................................................................................................................................................................. 36 Estándares y documentos vigentes para homologar ............................................................................................................................................................... 36

5.

Anexo IV ............................................................................................................................................................................................. 37 Información del prestador de Servicios EDI .................................................................................................................................................................................... 37 Carta de Adhesión ........................................................................................................................................................................................................................................... 38

6.

AnexoV ............................................................................................................................................................................................... 39 Modelo de Informe Mensual ................................................................................................................................................................................................................... 39

7.

AnexoVI .............................................................................................................................................................................................. 40 Modelo de Constancias .............................................................................................................................................................................................................................. 40

Diciembre 2012, v2

Copyright© GS1 Argentina 2012

2


Grupo de Trabajo Esta nueva versión del Manual para la Homologación de Prestadores de Servicio EDI de GS1 Argentina responde a las necesidades planteadas por la comunidad en las reuniones del Grupo de Trabajo de EDI de Consumo Masivo. Esto es así tanto en lo que respecta a los criterios a aplicar en el Proceso de Homologación, como también en lo que refiere al rol asignado a nuestra Organización como entidad encargada de definir y aplicar el mencionado proceso.

Diciembre 2012, v2

Nombre

Empresa

Victor Luna

Arcor

Karina Alice

Carrefour

Diego Efron

Cencosud

Leandro Japaz

Cencosud

Valeria Rótolo

Cencosud

Fernando Tilleiro

Coca Cola FEMSA

Hugo Koval

Coca Cola FEMSA

Adrian Gonzalez

Cooperativa Obrera

Christian Abadia

Cooperativa Obrera

Guillermo Volpintesta

Cooperativa Obrera

Susana Linaza

Cooperativa Obrera

Gabriela Rodriguez

Cordiez

Hugo Suárez

Cordiez

Guillermo Añaños

Coto

María Paula Muñoz

Coto

Silvina Saggese

Coto

Claudio Farías

Danone

Domingo Vivanco

Grupo Bimbo

Marco Pineda Muñoz

Grupo Bimbo

Esteban Sconoccini

La Anónima

Víctor Gualdi

La Anónima

Héctor Robles

La Virginia

Juan Manuel Fera

Maxiconsumo

Sergio Silva

Maxiconsumo

José Levy

Molinos Río de la Plata

Lorena D’Angelo


Sabrina Raimondi


Cristian Schmalzle

Mondelez / Kraft Foods

Mariana Felchle

Mondelez / Kraft Foods

Alejandro Luna

Nestlé

Martín Massera

Nestlé

Germán DiCarlo

P&G

Juan Bibiloni

P&G

Gustavo Sanjurjo

Papelera del Plata

Mario Mercuri

Papelera del Plata

Leandro Simari

Quilmes

Martin Valseche

Quilmes

Daniel Garrido

Sancor


3


Diciembre 2012, v2

Nombre

Empresa

Pablo Macagno

Sancor

Javier Santolia

SC Johnson

Cristian Jimenez

Suc. de A. Williner

Osvaldo Wagner

Suc. de A. Williner

Ana Cardone

Unilever

Daniel Mendelberg

Carvajal

Diego Gonzalez

Carvajal

Diego Gonzalez

Carvajal

Luis Sandoval

Carvajal

Diana Salazar

Edicom

Guillermo Corbi

Edicom

Juan David Méndez

Edicom

Adriana Bermudez

Global Advant

Hernan Mendozzi

Global Advant

Marcos del Molino

Global Advant

Sergio Ramos

Global Advant

Daniel de la Parte

Ideas y Tecnología

Pablo Riveros

Ideas y Tecnología

Rubén Sessa

Ideas y Tecnología

Daniel Rigoni

Planexware

Guido Pinto

Planexware

Juan Carlos del Río

Planexware

Luciana Gaspari

Deloitte

Walter Riveros

Deloitte

Rubén Calónico

GS1 Argentina

Juan Pablo Mengide

GS1 Argentina

Federico Sedano Acosta

GS1 Argentina

Claudia Geniz

GS1 Argentina

Anibal Serignese

GS1 Argentina


4


Manual para la Homologación de Prestadores de Servicios EDI 1.

Introducción El Intercambio Electrónico de Documentos (EDI) se ha posicionado como una herramienta esencial en la operatoria logística y comercial de sectores como Retail y Salud entre otros. Su uso permite: ■ Realizar negocios con mayor rapidez, facilidad y eficiencia ■ Reducir costos de operación, niveles de inventario y errores administrativos ■ Aumentar la precisión y velocidad del intercambio de información

Para proceder a realizar intercambio de documentos y que el mismo sea efectuado con los niveles requeridos de calidad y seguridad (autenticación de origen, privacidad, integridad del contenido y no repudio de origen o recepción), las empresas suelen recurrir a partners tecnológicos que gestionen el transporte de los datos. Estos partners serán denominados en adelante: Prestadores de Servicios EDI, o PS en forma abreviada.

2.

Objetivo El objetivo del presente Manual es fijar las pautas y requerimientos de GS1 Argentina para con las empresas que deseen ser homologadas como Prestadores de Servicios EDI, y los procedimientos aplicables a dicha homologación. GS1 Argentina, con la meta de optimizar los procesos logísticos y comerciales en beneficio de toda la cadena de abastecimiento, procura garantizar a sus asociados por medio de la Homologación de Prestadores de Servicios EDI, que quienes superen exitosamente el proceso son aptos para brindar el servicio y/o aplicaciones de Intercambio Electrónico de Documentos (EDI) en las condiciones técnico-operativas adecuadas y alineadas con los requerimientos manifestados por los usuarios. En tal sentido GS1 Argentina pone foco en: ■ El Intercambio Electrónico de Documentos en los formatos estándar difundidos y administrados por GS1 a nivel global. ■ Los niveles de servicio requeridos por sus asociados. ■ El Modelo de Interoperabilidad entre Prestadores de Servicio EDI requerido por el Mercado. ■ Las recomendaciones de los expertos en seguridad informática que colaboraron con GS1 en la confección

de los Anexos. Todo otro servicio y/o aplicación adicional brindados por los Prestadores de Servicios EDI, en función a su estrategia comercial y/o de los acuerdos realizados con sus clientes, y que no se vinculen con los estándares GS1 eCom, NO están incluidos dentro del marco de la homologación.

3.

Aspectos generales ■ La adhesión al proceso de homologación es voluntaria. ■ Solamente podrán acceder a la homologación, aquellas empresas asociadas a GS1 Argentina, y que tengan sus cuotas

sociales al día. ■ La homologación tendrá una validez de 1 año. ■ GS1 Argentina definirá las rutinas apropiadas para validar los conceptos definidos dentro de dicho proceso.

Diciembre 2012, v2


5


■ Cualquier irregularidad persistente respecto a lo oportunamente definido dentro del proceso de homologación, será

causal de pérdida de la misma. ■ La comunidad GS1 tendrá a disposición en nuestra página web la información correspondiente a los Prestadores de

Servicios EDI homologados, así como la lista de documentos electrónicos verificados, junto a su período de vigencia. ■ Los diferentes Anexos del presente Manual definen las condiciones particulares aplicables al proceso de homologa-

ción de PS. ■ En el Anexo I, se hace referencia al detalle de los requerimientos específicos para homologar, los cuales están en línea

con lo manifestado por los usuarios. ■ Por su parte, el Anexo II describe la secuencia y reglas para la prestación del servicio EDI, en sintonía con la propuesta

realizada por los propios PS. ■ Los estándares vigentes para esta homologación son los indicados en el Anexo III. Estos deberán actualizarse en cada

cambio de versión que GS1 International publique y cuando GS1 Argentina considere necesaria dicha migración. ■ Independientemente de los documentos mencionados en el Anexo III, en la presente homologación se estarán ve-

rificando todos los documentos estándar que los Prestadores tengan en producción y que deseen que figuren en el acuerdo de homologación entre estos y GS1 Argentina. ■ Para dar comienzo formal a la homologación, los PS deberán completar el formulario del Anexo IV, el cual brinda los

datos generales del Prestador y manifiesta la intención de participar del proceso. ■ Mensualmente, los Prestadores de Servicios EDI que hayan sido homologados, deberán enviar a GS1 Argentina un

reporte notificando la cantidad de transacciones realizadas, discriminando por estándar y por mensaje. En el Anexo V puede verse el modelo para la presentación de esos datos. ■ Finalmente, en el Anexo VI se muestran modelos de Constancias que GS1 emitirá como culminación del proceso. ■ Todo PS podrá durante la vigencia de su homologación, presentarse a verificar nuevos documentos electrónicos

específicos. En tal caso, y una vez superado exitosamente el proceso, GS1 Argentina emitirá la constancia correspondiente, la cual tendrá como fecha de caducidad la misma que figure en la Constancia de Homologación como Prestador de Servicio EDI. ■ Es condición para homologar, que un PS presente a verificación al menos un documento electrónico de Proceso de

Negocios (Orden, Aviso de Despacho, Factura, Devoluciones, etc.) y además los documentos electrónicos de control mencionados en los pasos mandatorios de la secuencia descripta en el Anexo II. Se realizará un nuevo proceso de Homologación siempre que: ■ El Prestador de Servicios EDI efectúe modificaciones a la solución tecnológica que brinda a sus clientes. ■ GS1 Argentina libere nuevas versiones de estándar y/o transacciones. ■ Se haya vencido el plazo de validez de la homologación previa. ■ El Asociado o el Prestador lo soliciten.

4.

Proceso de validación El proceso de validación involucra lo siguiente: ■ Asociación del Prestador de Servicios EDI a GS1 Argentina ■ Presentación de la Documentación requerida ■ Entrevista de Verificación ■ Emisión de observaciones ■ Feedback del Proceso

Diciembre 2012, v2


6


Asociación a GS1 Argentina

Proceso

Presentación de la Documentación

No

Entrevista de Verificación

¿Desvíos?

Sí No

¿Menores?

Sí Emisión de observaciones

Feedback Negativo

No

¿PS Subsana Observ.?

Sí Feedback del Proceso Publicación de los resultados

4.1.

Asociación del Prestador de Servicios EDI a GS1 Argentina Con el objetivo de alinear acciones para estandarizar el Comercio Electrónico en Argentina, así como para masificar su uso y difundir las mejores prácticas, se requiere establecer una “Alianza” entre Prestadores de tecnología y GS1 Argentina. Toda empresa que desee participar en los Grupos de Trabajo y/o en las nuevas iniciativas a nivel de toma de decisiones y desarrollo, debe estar inscripta en GS1, con las cuotas al corriente, y adherir a los estatutos bajo los que se rige y opera GS1 Argentina.

4.2.

Presentación de la Documentación requerida A los fines de iniciar el proceso de homologación, la empresa solicitante deberá presentar la siguiente documentación: ■ Formulario de inscripción (si no está inscripto) ■ Estar al día con las cuotas ■ Presentar completas y firmadas ambas páginas del Anexo IV ■ Breve descripción de la solución implementada por el Prestador de Servicios EDI, incluyendo alcances, diagramas, etc. ■ Dos instancias reales (entorno de producción) de cada documento electrónico a verificar.

Diciembre 2012, v2


7


Es importante aclarar que GS1 Argentina desarrollará sobre las instancias de documentos electrónicos que los PS presenten a verificar, una serie de pruebas técnicas y operativas que apuntan a chequear el cumplimiento del estándar correspondiente en lo referente a su estructura y formatos (conforme al estándar GS1 que correspondiese: XML o EANCOM). No se hará validación, difusión o uso alguno de los contenidos, los cuales en todos los casos serán considerados confidenciales. La documentación descrita deberá enviarse vía correo electrónico a la dirección [email protected]. A través de esa vía, y dentro de las 96 hs hábiles, el Prestador de Servicios EDI recibirá la confirmación de la fecha de la Entrevista de Verificación.

4.3.

Entrevista de Verificación En fecha acordada entre el PS y GS1 Argentina, se realizará la Entrevista de Verificación, la cual tiene por objetivo repasar conjuntamente un cuestionario o “check list” armado según los requerimientos detallados en este Manual. ■ La Entrevista de Verificación se desarrollará en oficinas del PS, debiendo éste planificar los recursos físicos, técnicos y

humanos necesarios para que se efectivice durante una única jornada laboral. ■ GS1 podrá adelantar el cuestionario, en caso de considerarlo adecuado, para que el PS prepare las respuestas, las

fundamente y/o designe al interlocutor adecuado a participar del desarrollo de la Entrevista. ■ GS1 Argentina podrá, durante el desarrollo de la Entrevista de Verificación, solicitar las evidencias documentales y/o

realizar las inspecciones visuales que considere necesarias como complemento a la evaluación de los ítems que formen parte del cuestionario. ■ Las evidencias serán tratadas como información confidencial y en ningún caso GS1 dispondrá de la misma fuera del

ámbito de la Entrevista de Verificación. ■ En caso de que el PS no pueda dar respuesta a algún ítem específico, se asumirá que no cumple con el mismo.

4.4.

Emisión de observaciones En aquellos casos donde se evidencie un grado de concordancia importante entre lo relevado y lo requerido en el Manual, GS1 Argentina podrá decidir una instancia de ajuste previa al cierre del proceso. ■ En caso de detectarse desvíos menores durante el proceso de revisión, el Prestador de Servicios EDI, recibirá un reporte

para que proceda a efectuar los ajustes indicados o la presentación de un plan de remediación según corresponda. ■ De acuerdo a la magnitud de los desvíos hallados, así como de las demoras en proceder a los ajustes, GS1 Argentina

podrá incluir requisitos adicionales para lograr la Homologación o bien dar por cerrado el proceso en forma negativa.

4.5.

Feedback del Proceso GS1 Argentina comunicará al PS el resultado del Proceso de Homologación dentro de 10 días hábiles de ocurrido alguno de los siguientes hechos: a) Culminación de la Entrevista de Revisión sin Emisión de Observaciones. b) Recepción del Plan de Remediación en respuesta a las observaciones realizadas por GS1. c) Manifestación de la conformidad de GS1 con los ajustes que el PS hubiese realizado para corregir los desvíos menores detectados en el proceso de revisión. En la mencionada comunicación, GS1 confirmará si el resultado ha sido positivo y por ende se pasará al paso siguiente de publicación de los resultados, o por el contrario, si el PS no ha tenido éxito en su intención de homologarse, GS1 explicará las causas que motiven este hecho.

Diciembre 2012, v2


8


4.6.

Publicación de los Resultados Una vez culminado el proceso de revisión, y siempre que haya sido satisfactorio, GS1 Argentina publicará las correspondientes Constancias de Homologación y de Verificación de Documento EDI en su sitio web: www.gs1.org.ar. En dicho sitio se incluirá además el logo del Prestador de Servicios EDI, los datos básicos de contacto y un hipervínculo a su correspondiente sitio web. En caso de que el PS presentase posteriormente nuevos documentos electrónicos a verificar, sus correspondientes Constancias se agregarán a las previas.

Diciembre 2012, v2


9


Anexo I Requerimientos para la homologación Se describen a continuación los requerimientos para homologar que serán evaluados, clasificados por grupos de requerimientos y con la indicación acerca de si se los considera mandatorio u opcional. Por razones de comodidad en la página de GS1 Argentina se pondrá a disposición un documento Excel con el mismo contenido. Código

Requerimientos para homologación

1

Reglas de negocio

1.1

Definición de reglas de negocio

Mandatorio

Opcional

Los proveedores de servicio deberán cumplir con el esquema de interoperabilidad definido en el Anexo I. 1.1.1

ANEXO I “Diagrama de secuencia y reglas de negocio”

1.2

Estándares de Mensajes

1.2.1

✓

Todos los documentos, mensajes y notificaciones intercambiados mediante EDI deberán cumplir con los estándares publicados y homologados por

✓

GS1 1.3

Niveles de servicio Los proveedores de servicio deberán cumplir con los siguientes niveles acordados durante el intercambio de documentos electrónicos

1.3.1

Disponibilidad del servicio 7x24x365

✓

1.3.2

Soporte 7x24x365

✓

1.3.3

Tiempo máximo de respuesta del soporte de 15 minutos

✓

1.3.4

Tiempo máximo de resolución de incidentes de 4 horas

✓

1.3.5

Modelo de intercambio con un único Prestador de Servicios El Prestador de Servicios deberá cumplir con los siguientes niveles de ser-

✓

vicio para EDI 1.3.5.1

Cumplimiento anual del 99,5% de las transacciones de mensajes en un tiempo inferior a 2,30 horas

1.3.5.2

Tiempo máximo de notificación al Emisor indicando la aceptación o rechazo del documento: 30 minutos

1.3.5.3

✓ ✓

Tiempo máximo de notificación al Receptor indicando que tiene disponible el documento: 30 minutos a partir del envío de la notificación enviada

✓

al Emisor indicando la aceptación del documento 1.3.5.4

Tiempo máximo de notificación el Emisor indicando que el Receptor tiene disponible el documento: 2 horas y media, desde el momento en que no-

✓

tificó al Emisor la aceptación del mismo

Diciembre 2012, v2


10


Código


1

Reglas de negocio

1.3.6

Modelo de intercambio con dos Prestadores de Servicios Los Prestadores de Servicio deberán cumplir con los siguientes niveles de

Mandatorio

Opcional

✓

servicio para EDI 1.3.6.1

Cumplimiento anual del 99,5% de las transacciones de mensajes entre Proveedores de Servicio en un tiempo inferior a 2 horas

1.3.6.2

✓

Tiempo máximo de notificación al Emisor a través del envío de un mensaje homologado indicando la aceptación o rechazo del documento por parte

✓

de PS1: 30 minutos 1.3.6.3

Tiempo máximo de envío del documento a PS2 una vez que PS1 lo aceptó: 30 minutos

1.3.6.4

Tiempo máximo de envío de MDN por parte de PS2 hacia PS1, luego de la transmisión del documento: 30 minutos

1.3.6.5

✓ ✓

Tiempo máximo de envío de un mensaje por parte de PS2 a PS1, luego del envío del MDN, donde se indique la aceptación o el rechazo del docu-

✓

mento: 30 minutos 1.3.6.6

Tiempo máximo de análisis del rechazo y comienzo de la retransmisión de un documento (en caso de aplicar) desde PS1 a PS2 en aquellos casos don-

✓

de el mensaje enviado desde PS2 a PS1 indique un rechazo: 30 minutos 1.3.6.7

Tiempo máximo de notificación desde PS2 a PS1 indicando que el Receptor tiene disponible el documento: 2 horas, desde el momento en que PS1

✓

notificó al Emisor la aceptación del mismo 1.3.6.8

Tiempo máximo de notificación desde PS2 a PS1 indicando que el Receptor tiene disponible el documento: 1 hora desde el momento en que PS2 notificó a PS1 la aceptación del documento mediante un mensaje homo-

✓

logado 1.3.6.9

Tiempo máximo de notificación desde PS1 al Emisor indicando que el Receptor tiene disponible el documento: 2.30 horas, desde el momento en

✓

que PS1 notificó al Emisor de la aceptación del mensaje

Diciembre 2012, v2


11


Código


2

Requerimientos funcionales

2.1

Mandatorio

Opcional

Funcionalidad provista por los proveedores de servicio La aplicación provista por los proveedores de servicio para el intercambio de documentos electrónicos deberá proveer las siguientes funcionalidades para los Emisores/ Receptores

2.1.1

Soporte el idioma español si la aplicación es de uso regional/internacional

✓

2.1.2

Interfaz gráfica intuitiva y amigable

✓

2.1.3

Capacidad de efectuar la integración con sistemas del Emisor y/o Receptor para el intercambio de documentos en forma automática

2.1.4

Las siguientes facilidades serán provistas para que el Emisor efectúe la ges-

✓

tión de documentos:

✓

2.1.4.1

Consulta a través de la aplicación de documentos enviados por el Emisor

✓

2.1.4.2

Cancelación con un mensaje homologado de documentos que han sido enviados con anterioridad

2.1.4.3

Detección de documentos duplicados, es decir, que poseen el mismo

✓

identificador, tipo y contenido del mensaje.

✓

2.1.4.4

Capacidad de retransmisión de documentos

✓

2.1.4.5

Retención de documentos enviados

✓

2.1.4.6 2.1.5

Administración de flujos de autorización de documentos, ante los casos en Emisión de un reporte con el histórico de transacciones realizadas con documentos sobre un período de tiempo a definir

Diciembre 2012, v2

✓

un usuario carga los documentos y otro usuario los libera


✓

12


Código


2

Requerimientos funcionales

2.2

Monitoreo de transacciones

Mandatorio

Opcional

La aplicación provista por los proveedores de servicio para el intercambio de documentos electrónicos deberá permitir registrar y resguardar en forma automática los eventos del sistema 2.2.1

Identificación de los eventos provenientes del sistema, incluídos pero no limitados a:

✓

2.2.1.1

Transacciones de documentos exitosas y fallidas

✓

2.2.1.2

Retransmisión de documentos realizados

✓

2.2.1.3

Eventos/Incidencias repetitivas

✓

2.2.1.4

Time-outs

✓

2.2.1.5

Fallos en el enlace

✓

2.2.1.6

Caída del servicio y necesidad de iniciar contingencia

✓

2.2.1.7

Accesos a los registros de auditoría

✓

2.2.1.8

Inicialización de los registros de auditoría

✓

2.2.1.9

Creación y eliminación de objetos (usuarios, documentos, transacciones, mensajes, incidentes)

2.2.2

Para cada uno de los eventos almacenados se registrará la siguiente infor-

✓

mación:

✓

2.2.2.1

Usuario

✓

2.2.2.2

Tipo de evento

✓

2.2.2.3

Fecha y hora

✓

2.2.2.4

Resultado (exitoso o fallido),

✓

2.2.2.5

Origen del evento,

✓

2.2.2.6

Datos o componentes afectados

✓

2.2.2.7

Motivo del error

✓

2.2.3

Los logs y registros de auditoría de la infraestrucutura que soporta EDI deberán retenerse durante un año

2.2.4

La aplicación provista deberá tener la capacidad de alertar los incidentes del sistema

2.2.5

La aplicación provista deberá brindar la posibilidad de parametrizar las alertas y tomar acciones en base a rangos flexibles

2.2.6

✓ ✓ ✓

La aplicación provista deberá tener la capacidad de definir acciones automáticas, envío de correos, envío de sms, interacción con sistemas de repor-

✓

te ante alertas emitidas La aplicación provista deberá contar con un motor de mecanismo de es2.2.7

calamiento de alertas y reportes según parámetros definidos en la herra-

✓

mienta (roles, criticidad y urgencia).

Diciembre 2012, v2


13


Código 2.3


Mandatorio

Opcional

Reportes Los proveedores de servicio deberán facilitar reportes a fines de proveer trazabilidad de los documentos enviados y facilitar la gestión durante el proceso de intercambio

2.3.1

Reportes online/batch parametrizables para los Emisores (por usuario, do-

✓

cumento, estándar, receptor, proveedor de servicio, fecha, tipo de documento): 2.3.1.1

Tiempos de respuesta

✓

2.3.1.2

Cantidad de transacciones (exitosas, fallidas, reversas)

✓

2.3.1.3

Incidencias/eventos mencionados en la sección de monitoreo

✓

2.3.1.4

Tipos de transacciones

✓

2.3.1.5

Acceso a reportes a través de interfaz web, según niveles de autorización

✓

definidos en el módulo de administración de usuarios y roles. 2.3.2

Reportes online/batch parametrizables para GS1 (por estándar, fecha y

✓

tipo de documento): 2.3.2.1

Cantidad de transacciones (exitosas, fallidas, reversas)

2.3.3

Envío de reportes en diferentes tipos de medio (HTML, PDF, XLS)

2.3.4

Capacidad de almacenar datos históricos que posibiliten generar

✓ ✓ ✓

estadísticas 2.4

Documentación Los proveedores de servicio deberán poseer la siguiente documentación actualizada y revisada por el personal correspondiente

2.4.1

Manual de Operación

✓

2.4.2

Manual de Usuarios

✓

2.4.3

Manual de Administración

✓

Diciembre 2012, v2


14


Código


3

Requerimientos técnicos

3.1

Contingencia

3.1.1

Los proveedores de servicio deberán tener definida y documentada una

Mandatorio

Opcional

✓

estrategia de contingencia donde se defina el plan de acción a seguir para disponibilizar el servicio en el menor tiempo posible tolerable (incluyendo la provisión del servicio por otro PS) 3.2 3.2.1

Escalabilidad, parametrización y mantenimiento La aplicación que soporta el intercambio electrónico de datos debe estar

✓

completamente diseñada y segmentada por módulos 3.2.2

La arquitectura de la solución EDI debe ser multicapa: Separación de capas

✓

de base de datos, reglas de negocio e interfaz de usuario en capas independientes que interactuen entre sí 3.3

Alta disponibilidad y tolerancia a fallos

3.3.1

Las plataformas de hardware que darán soporte al sistema deben disponer

✓

de un esquema de alta disponibilidad de procesamiento y una arquitectura tolerante a fallos, con balanceo de carga. 3.4

Arquitectura de la solución

3.4.1

Segmentación en capas

✓

3.4.2

Utilización del protocolo AS2 para la comunicación entre proveedores de

✓

servicio 3.4.3

Utilización de mecanismos de cifrado robustos y protocolos de seguridad

✓

(por ejemplo, SSL/TLS, IPSEC, SSH, etc.) para proteger los documentos durante la transmisión por redes públicas abiertas. Ejemplos de redes públicas abiertas incluyen, pero no se limitan a: - Internet - Tecnologías inalámbricas - Sistema global para comunicaciones móviles (GSM) - Servicio de radio paquete general (GPRS) 3.4.5

Aplicación web en una DMZ

✓

3.4.6

Capa de datos en la red interna

✓

Existencia de un firewall en cada conexión a Internet y entre cualquier

✓

3.4.7

zona desmilitarizada (DMZ) y la zona de la red interna 3.4.8

Utilización de sistemas de detección y/o prevención de intrusiones para

✓

supervisar el tráfico y alertar al personal ante la sospecha de riesgos 3.4.9

Diciembre 2012, v2

Infraestructura EDI segmentada física o lógicamente del resto de la red


✓

15


Código


4

Requerimientos de operación

4.1

Procesos y procedimientos

Mandatorio

Opcional

Los proveedores de servicio deberán definir e implementar normas y procedimientos de seguridad, que abarquen los aspectos definidos en los puntos siguientes 4.1.1

Procedimiento de Gestión de incidentes

✓

4.1.1.1

Deberán estar definidos los roles y responsabilidades respecto de la ges-

✓

tión de incidentes con respecto al proceso de EDI 4.1.1.2

Todos los incidentes generados deberán ser registrados y tipificados en

✓

forma inicial identificando: usuario, emisor, receptor, PS1, PS2, fecha de detección, responsable. 4.1.1.3

Los incidentes reportados deberán ser resueltos en un período no mayor a

✓

4 horas y deberán escalarse en caso de ser necesario 4.1.1.4

Los incidentes deberán cerrarse con la aprobación de todas las partes in-

✓

volucradas 4.1.1.5

El responsable del incidente deberá resguardar y registrar la documenta-

✓

ción correspondiente al caso 4.1.2

Proceso de gestión de vulnerabilidades sobre la infraestructura de la so-

✓

lución EDI 4.1.2.1

Pruebas de ethical hacking internas en forma semestral o ante cambios en

✓

la infraestructura 4.1.2.2

Pruebas de ethical hacking externas en forma semestral o ante cambios

✓

en la infraestructura 4.1.2.3

Pruebas de ethical hacking sobre app web en forma anual o ante cambios

✓

en las aplicaciones 4.1.2.4

Aplicación de últimos parches de seguridad publicados y homologados

✓

por los proveedores sobre la infraestructura que soporta EDI 4.1.3 4.1.3.1

Procedimiento de gestión de claves criptográficas y certificados digitales

✓

Almacenamiento de claves criptográficas en forma segura (por ejemplo,

✓

en medios portátiles protegidos adecuadamente con controles sólidos de acceso). 4.1.3.2

Acceso a claves restringido a la menor cantidad de custodios necesaria

✓

4.1.3.3

Conocimiento dividido y control dual de claves generadas manualmente

✓

Definición de proceso de cambio y rotación de claves ante divulgación o

✓

4.1.3.4

compromiso de las mismas 4.1.3.5

Utilización de un CA reconocido para la generación de certificados digi-

✓

tales 4.1.3.6

Definición de un procedimiento de intercambio seguro de certificados

✓

con otros proveedores de servicio 4.1.3.7

Definición de proceso para la revocación y renovación de certificados

✓

digitales

Diciembre 2012, v2


16


Código


Mandatorio

4


4.1.4

Procedimientos básicos de operaciones de seguridad

✓

4.1.4.1

Administración de reglas de firewall

✓

4.1.4.1.1

Definición de roles y responsabilidades para la administración del firewall

✓

4.1.4.1.2

Procedimiento que establezca la aprobación formal para efectuar el alta,

✓

Opcional

baja y modificación de reglas de firewall 4.1.4.1.3

Revisión semestral de reglas de firewall para determinar la corresponden-

✓

cia de las mismas y tomar las acciones pertinentes 4.1.4.2 4.1.4.2.1

Revisión de configuración de plataformas

✓

Definición de roles y responsabilidades para revisar la configuración de se-

✓

guridad de las plataformas 4.1.4.2.2

Proceso formal de revisión semestral de los equipos que forman parte de la

✓

infraestructura EDI a fines de verificar que se encuentren implementados los estándares de seguridad definidos en la sección “Hardenning” 4.1.4.3 4.1.4.3.1

Gestión de usuarios

✓

Procedimiento que establezca la aprobación formal para efectuar el alta,

✓

baja y modificación de usuarios en los sistemas y donde se asegure que los usuarios poseen asignados únicamente los privilegios necesarios para efectuar sus tareas diarias 4.1.4.3.2

Procedimiento formal semestral de certificación de accesos, donde el due-

✓

ño de los sistemas verifique si es correcta la relación entre los usuarios que poseen acceso y los privilegios que tienen asignados 4.1.4.3.3

Procedimiento formal semanal para bloquear los usuarios que no ingresan

✓

al sistema por un período mayor a 90 días 4.1.4.3.4

Procedimiento de administración de usuarios de máximos privilegios, a

✓

fines de resguardar en forma segura las contraseñas y evitar su utilización 4.1.4.4

Antivirus y antispam

✓

4.1.4.4.1

Implementación de software antivirus en todos los sistemas que confor-

✓

man la infraestructura EDI (en especial, computadoras personales y servidores) 4.1.4.4.2 4.1.4.4.3

Actualización diaria de las firmas de antivirus

✓

Ejecución automática de software antivirus y realización de escaneos pe-

✓

riódicos 4.1.4.4.4

Implementación de antispam y antispyware para detectar amenazas y vi-

✓

rus provenientes del correo e internet

Diciembre 2012, v2


17


Código


4


4.1.4.5

Copias de seguridad

✓

Procedimiento formal para la gestión de copias de seguridad que contem-

✓

4.1.4.5.1

Mandatorio

Opcional

ple la identificación del soporte e información que contiene 4.1.4.5.2

Almacenamiento de las copias de seguridad en ambientes controlados y

✓

seguros (Ver sección “Seguridad física”) 4.1.4.5.3

Autorización para la entrada y salida de la ubicación principal y registro de

✓

movimientos de copias de seguridad 4.1.4.5.4

Implementación de mecanismos de destrucción segura de la información

✓

en desuso o de medios obsoletos 4.1.4.6 4.1.4.6.1

Control de cambios en los sistemas

✓

Existencia de segregación física de ambientes de desarrollo, prueba y pro-

✓

ducción relacionada con la infraestructura EDI 4.1.4.6.2

Segregación lógica de accesos entre los usuarios desarrolladores y los

✓

usuarios que acceden a ambientes de prueba y producción 4.1.4.6.3

Ofuscación de datos productivos en ambientes bajos, tales como prueba

✓

y/o desarrollo 4.1.4.6.4

Proceso formal establecido para que los cambios a los códigos de las apli-

✓

caciones sean revisados por individuos distintos al autor que originó el código y por individuos con conocimiento en técnicas de revisión de código y prácticas de codificación segura 4.1.4.6.5

Revisión y aprobación por un responsable de los resultados de la revisión

✓

de código antes de la implementación en producción 4.1.4.6.6

Desarrollo de aplicaciones web siguiendo los lineamientos de las mejores

✓

prácticas de seguridad, por ejemplo OWASP. 4.1.4.7

Revisión de eventos de seguridad

✓

4.1.4.7.1

Definición de roles y responsabilidades con respecto a la revisión de los

✓

logs y registros de eventos de seguridad 4.1.4.7.2

Resguardo de logs de auditoría en repositorio con acceso restringido para

✓

evitar su eliminación y /o modificación 4.1.4.7.3

Proceso formal de revisión periódica de eventos de seguridad

✓

4.2

Soporte y atención

✓

Los proveedores de servicio deberán proveer de un esquema para brindar soporte y atención a otros proveedores de servicio, emisores y/o receptores 4.2.1 4.2.2

Soporte de mesa de ayuda 7x24x365

✓

Mecanismo de soporte definido y publicado, ya sea mediante tickets, te-

✓

lefónico u on site 4.2.3

Diciembre 2012, v2

Cobertura regional del soporte e idiomas de atención adecuados


✓

18


Código


Mandatorio

4


4.3

Cumplimiento contractual y regulatorio

4.3.1

Non-disclosure agreement entre Proveedores de Servicio

✓

4.3.2

Autorización formal para operar entre Emisores y Proveedores de Servicio

✓

Opcional

2 (PS2) 4.3.3

Homologación formal anual de proveedores de servicio por GS1

✓

4.3.3.1

Listado de proveedores homologados disponibles para la consulta a través

✓

de la página web de GS1 4.3.3.2

Ante incumplimientos, los PS deberán confeccionar un plan de remedia-

✓

ción y validarlo con GS1 para continuar operando

Diciembre 2012, v2


19


Código


5

Seguridad

5.1

Administración segura

Mandatorio

Opcional

La aplicación que soporta el proceso de intercambio de documentos electrónicos deberá poseer un esquema de administración segura 5.1.1 5.1.1.1

Identificación de usuarios

✓

No permite identificadores de usuario repetidos dentro de la misma com-

✓

pañía 5.1.1.2

Valida que el identificador de usuario no esté asociado a información pú-

✓

blica de la compañía o del propio usuario 5.1.1.3

No se utilizan usuarios genéricos o compartidos dentro de la compañía

✓

5.1.2

Autenticación

✓

5.1.2.1

Enmascara datos confidenciales visualizados en pantalla, por ejemplo,

✓

contraseñas 5.1.2.2

Los mensajes de error generados en forma posterior a la autenticación, son

✓

genéricos para no permitir enumeración de cuentas 5.1.2.3

Todos los formularios públicos que permiten el envío de datos requieren

✓

el ingreso de un Captcha 5.1.2.4

Los gráficos asignados a los caracteres del Captcha son aleatorios

✓

5.1.3

Política de contraseñas y bloqueo de cuentas

✓

5.1.3.1

Permite definir una longitud mímina a la contraseña

✓

5.1.3.2

Permite definir complejidad en la composición de la contraseña

✓

5.1.3.3

Permite definir el bloqueo de la cuenta ante intentos de accesos fallidos

✓

5.1.3.4

Permite definir un historial de contraseñas utilizadas

✓

Permite definir el tiempo máximo de uso de una contraseña luego del cual

✓

5.1.3.5

se fuerza el cambio de la misma 5.1.3.6

Permite definir el tiempo mínimo de uso de una contraseña antes del cual

✓

no se permite el cambio de la misma 5.1.3.7

Permite definir el mecanismo de desbloqueo de una cuenta (automático

✓

- manual)

Diciembre 2012, v2


20


Código


5

Seguridad

5.1.4

Cambio de contraseña

✓

Valida en forma previa la contraseña anterior y luego ingresa la nueva con-

✓

5.1.4.1

Mandatorio

Opcional

traseña 5.1.5

Reestablecimiento de contraseña

✓

5.1.5.1

Debe validar que el identificador de usuario sea válido

✓

5.1.5.2

Debe validar la nueva contraseña de un único uso al email registrado por

✓

el usuario 5.1.6 5.1.6.1

Almacenamiento, transmisión y encripción de datos sensibles

✓

Los identificadores de usuario y las contraseñas no son transferidas en tex-

✓

to plano entre los diferentes componentes de la aplicación 5.1.6.2

Las contraseñas no son almacenadas en texto plano

✓

5.1.6.3

Las contraseñas no son manipuladas en el código de la aplicación

✓

5.1.6.4

Las contraseñas no son enviadas al usuario en ningún momento

✓

5.1.6.5

Los documentos no son almacenados en la aplicación en texto plano

✓

5.1.6.6

La transmisión de datos mediante el protocolo AS2 debe implementarse

✓

con HTTPS y con la utilización de firma digital (integridad y no repudio) 5.1.7 5.1.7.1

Administración de usuarios del portal

✓

El esquema de autorización utilizado se encuentra basado en un sistema

✓

de control de acceso basado en roles (RBAC, role based access control) 5.1.7.2

El esquema de autorización permite definir privilegios hasta el nivel de ac-

✓

ción que administre el sistema (por ejemplo: formulario, reporte, punto de menú, código de acción) 5.1.7.3

Diciembre 2012, v2

El sistema de control de acceso basado en roles soporta roles predefinidos


✓

21


Código


5

Seguridad

5.2

Arquitectura de seguridad

5.2.1

Autenticación

✓

Los controles de autenticación son realizados en el servidor y no en el

✓

5.2.1.1

Mandatorio

Opcional

cliente 5.2.1.2

Todos los controles de autorización y autenticación son implementados

✓

de manera centralizada, es decir, existe un único módulo de autenticación dentro de la aplicación 5.2.1.3

La aplicación falla de manera segura: ante la ocurrencia de errores o excep-

✓

ciones no contempladas por la aplicación, la misma cierra todas la sesiones del usuario, muestra errores controlados, finaliza transacciones en curso de manera controlada y requiere re-autenticación para continuar la operación 5.2.1.4

El portal web no permite el acceso concurrente de una cuenta de usuario

✓

5.2.2

Modelo de capas

✓

Es posible segmentar la arquitectura del portal como mínimo en tres ca-

✓

5.2.2.1

pas: presentación, lógica de negocio y base de datos 5.2.2.2

No es posible la comunicación directa entre la capa de presentación y la

✓

capa de base de datos 5.2.2.3

Las consultas a la base de datos están encapsuladas a través de store pro-

✓

cedures definidos por el DBA 5.2.3 5.2.3.1

Manejo de errores

✓

Los mensajes de error o traces no brindan información de los componen-

✓

tes de la arquitectura ni datos del usuario 5.2.3.2 5.2.3.3

Los mensajes de error son gestionados del lado del servidor

✓

Ante el acceso al contenido del servidor por dirección IP, la aplicación en-

✓

via un mensaje de error 5.2.3.4

El código de la aplicación no permite que la página web esté incrustada

✓

dentro de un frame

Diciembre 2012, v2


22


Código


Mandatorio

5

Seguridad

5.3

Protección de datos

5.3.1

Controles para documentos procesados

✓

5.3.1.1

El código fuente de todas las páginas web que contienen campos de con-

✓

Opcional

traseñas no poseen habilitada la función de “Autocomplete” 5.3.1.2

La aplicación no almacena en la caché datos sensibles, como nombres de

✓

usuario y contraseñas 5.3.1.3

Los archivos temporales enviados al cliente por la aplicación, no pueden

✓

ser accedidos de forma pública y son eliminados luego de su utilización 5.3.1.4 5.3.1.5

La aplicación no muestra información sensitiva dentro del código fuente

✓

Todas las “Operaciones” privadas o que formen parte de un flujo de

✓

operación, son accedidas únicamente por usuarios que se encuentran autenticados 5.3.2 5.3.2.1

Validación de datos de entrada

✓

El código fuente de la aplicación restringe el tipo de archivos que pueden

✓

ser cargados en el sitio 5.3.2.2

El código fuente de la aplicación no permite la reescritura de archivos que

✓

han sido cargados desde el sitio web 5.3.2.3

La validación de los datos de entrada es realizada por el servidor

✓

de aplicación 5.3.2.4

La aplicación no es susceptible a buffer overflows

✓

5.3.2.5

El servidor debe efectuar la validación de los parámetros recibidos por los

✓

formularios de la aplicación 5.3.2.6

La aplicación verifica todos los datos ingresados por parte del usuario, va-

✓

lidando su tipo y verificando que se reciban las longitudes / cantidades de caracteres esperados 5.3.2.7

La aplicación verifica las credenciales del usuario, antes de permitir la carga

✓

o descarga de archivos

Diciembre 2012, v2


23


Código


5

Seguridad

5.4

Hardenning

5.4.1

Definición de estándares de configuración sistemas operativos, bases de

Mandatorio

Opcional

✓

datos y equipos de comunicaciones de la arquitectura EDI basados en mejores prácticas, que involucren como mínimo: 5.4.1.1

Política de contraseñas y bloqueo de cuentas

✓

5.4.1.2

Política de auditoría

✓

5.4.1.3

Asignación de permisos basada en el principio del “menor privilegio”

✓

5.4.1.4

Bloqueo de sesiones por tiempo de inactividad

✓

5.4.1.5

Cambio de contraseñas por defecto

✓

5.4.1.6

Utilización de usuarios personalizados, no genéricos

✓

5.4.1.7

Utilización de servicios seguros

✓

5.4.1.8

Utilización de software antivirus

✓

5.4.1.9

Implementación de actualizaciones de seguridad

✓

5.4.2

Implementación de los estándares sobre la arquitectura EDI

✓

5.5

Seguridad física La infraestructura que soporta el intercambio de documentos electrónicos deberá estar en un lugar protegido contra el acceso no autorizado y con controles ambientales adecuados para asegurar la disponibilidad del servicio

5.5.1

Control de acceso físico

✓

5.5.1.1

Autorización formal y logs de acceso al Centro de procesamiento de datos

✓

(CPD) 5.5.1.2

Mecanismo de control de acceso implementado (llave, tarjeta, pin, dispo-

✓

sitivo biométrico) 5.5.1.3

Control de acceso a terceros

✓

5.5.1.4

Cámaras de video para monitoreo

✓

5.5.1.5

Puertas y ventanas blindadas

✓

5.5.2

Monitoreo ambiental

✓

5.5.2.1

Sensores de humedad

✓

5.5.2.2

Sensores de humo

✓

5.5.2.3

Termómetro

✓

5.5.2.4

Aire acondicionado

✓

5.5.2.5

Sistema de extinción de incendios

✓

5.5.3

Suministro eléctrico

✓

5.5.3.1

Grupo electrógeno

✓

5.5.3.2

UPS

✓

5.5.4

Red

✓

5.5.4.1

Los puntos de acceso de la red se encuentran inhabilitados o se efectúa

✓

validación antes de permitir acceso (por ej, por MAC)

Diciembre 2012, v2


24


Anexo II Diagrama de Secuencia y Reglas de Servicio Se describe a continuación el Diagrama de Secuencia y las Reglas de Servicio a cumplir por los Prestadores de Servicio EDI. En este caso también se pondrá a disposición un archivo con el mismo contenido en la página de GS1 Argentina.

1.

Introducción Contexto y objetivo El presente Anexo tiene por objetivo definir el diagrama de secuencia del proceso de intercambio de documentos electrónicos bajo los siguientes modelos: ■ Intercambio de documentos electrónicos donde interviene un único Prestador de Servicios. ■ Interoperabilidad, donde intervienen dos Prestadores de Servicios para el intercambio de documentos electrónicos.

Para efectuar esta tarea se han tomado como punto de partida los requerimientos globales del Sector de Consumo Masivo, consolidados en la propuesta presentada oportunamente por los propios Prestadores de Servicio EDI a GS1. Las premisas consideradas para definir el proceso de interoperabilidad se detallan a continuación: 1. Todos los proveedores de servicio homologados por GS1 deben interconectarse con aquellas contrapartes que, estando también homologadas por GS1, dispongan de un proyecto concreto de intercambio de documentos electrónicos. 2. Todos los documentos intercambiados deben encontrarse homologados en el estándar de GS1. 3. El proceso debe garantizar seguridad y privacidad. 4. La transmisión de documentos entre partes deberá cumplir con el nivel de servicio definido. 5. La trazabilidad de los documentos deberá asegurarse durante todo el circuito de intercambio. 6. Para todos los mensajes que sean entregados, se deberá recibir un mensaje de confirmación de recepción. 7. Todo intercambio de mensajes no deberá superar los tiempos máximos definidos. 8. El servicio estará disponible en un esquema 24x7x365. 9. Los niveles de servicio serán aplicables tanto cuando interactúen dos prestadores de servicio o uno solo. 10. El tiempo de respuesta por parte del Receptor, una vez que el mensaje ha sido entregado, dependerá del Acuerdo que se encuentre establecido entre el Receptor y el Emisor. 11. Los proveedores de servicio serán homologados técnicamente por GS1.

Diciembre 2012, v2


25


2.

Diagrama de Secuencia Modelo de servicio EDI con un único Prestador de Servicio A continuación se presenta el diagrama de secuencia propuesto para el intercambio de documentos electrónicos donde interactúa un único Prestador de Servicios. En este diagrama se encuentra el detalle de los mensajes intercambiados entre las partes y los tiempos de respuesta máximos propuestos para la entrega y confirmación de los mismos.

RECEPTOR

PRESTADOR 1

EMISOR Documento

Notificación disponibilidad del mensaje (e-mail, portal, interface directa)

30´

30´

CONTRL 2.30 hs. 30´

Documento

CONTRL

30´

CONTRL (Puesta a disposición del Receptor)

30´

CONTRL (Documento formado por Receptor) CONTRL (Aceptación o Rechazo)

Referencias Mensajes optativos

Diciembre 2012, v2


26


Modelo de servicio EDI con dos Prestadores de Servicio A continuación se puede visualizar el esquema general de interoperabilidad entre Prestadores de Servicio y los tiempos de respuesta máximos propuestos para la entrega y confirmación de mensajes.

RECEPTOR

PRESTADOR 2

PRESTADOR 1

EMISOR 30´ Documento

30´


CONTRL Documento

AS2 MDN

30´

30´

30´

2 hs.

2.30 hs.

APERAK (Aceptación o Rechazo)

1h 30´ 30´

CONTRL (Notificación disponibilidad) CONTRL

Documento

30´ 30´

CONTRL (Msj tomado por Receptor) CONTRL

CONTRL

30´ CONTRL (Aceptación o Rechazo) CONTRL


Diciembre 2012, v2


27


Detalle del Diagrama de Secuencia A continuación se procederán a describir en forma detallada las actividades y los tiempos de respuesta máximos durante todo el circuito de intercambio de mensajes donde intervienen dos Prestadores de Servicio, tomando como referencia el Diagrama de Secuencia presentado en la sección anterior.

Paso 1 El Emisor transmite un mensaje, denominado en este esquema “documento”, al Prestador de Servicios 1 (en adelante, PS1) El documento deberá respetar los estándares homologados por GS1.

PRESTADOR 1

EMISOR

Documento

Paso 2 PS1 recibe el documento y valida el formato y contenido del mismo. Luego de dicha validación, PS1 envía al Emisor un mensaje “CONTRL”, indicando la aceptación o rechazo del documento. Si el documento fuera rechazado, PS1 deberá indicar en el mensaje “CONTRL” el motivo del error. PS1 deberá enviar el mensaje “CONTRL” al Emisor dentro de los 30 minutos de recibido el documento.

PRESTADOR 1

EMISOR

CONTRL

Diciembre 2012, v2


28


Paso 3 El Emisor recibe el mensaje “CONTRL” desde el PS1 y evalúa si el mensaje fue aceptado o no. Si el mensaje “CONTRL” estuviera rechazado, el Emisor podrá retransmitir el documento de acuerdo a los motivos de error informados y se iniciará el intercambio de mensajes desde el Paso 1. El emisor deberá controlar que no transcurran más de 30 minutos desde que ha enviado el documento hasta que PS1 responde con el mensaje “CONTRL”. Si transcurrieran más de 30 minutos, el Emisor deberá emitir una alarma.

PRESTADOR 1

EMISOR Documento

>30´ CONTRL

SI

Emitir Emitir alarma alarma

Paso 4 PS1 envía el documento al Prestador de Servicios 2 (en adelante, PS2), utilizando el protocolo AS2. Esta transmisión deberá efectuarse antes de transcurridos 30 minutos desde el momento en que PS1 envió el mensaje “CONTRL” al Emisor indicando la aceptación.

PRESTADOR 2

PRESTADOR 1

EMISOR CONTRL

Documento

>30´ SI Emitir alarma

Diciembre 2012, v2


29


Paso 5 PS2 recibe el documento enviado por PS1. Al recibirlo, si bien PS2 no realiza validaciones de reglas de negocio, valida la integridad del mensaje, que esté firmado digitalmente por PS1 y que el destino del documento sea un Receptor con el cual opera. PS2 envía un “Message Delivery Notification” (en adelante, MDN) a PS1 notificando la recepción del documento. PS2 debe enviar el “MDN” antes de transcurridos los 30 minutos desde que recibió el documento por parte de PS1. Ante el caso que no se cumpla el tiempo previsto PS1 emitirá una alarma.

PRESTADOR 2

PRESTADOR 1 Documento

>30´ AS2 MDN

SI


Paso 6 Luego del envío del “MDN”, PS2 envía un mensaje “APERAK”, indicando la aceptación o el rechazo del documento. Este mensaje debe ser enviado por PS2 en un tiempo máximo de 30 minutos desde el envío del mensaje “MDN”, caso contrario PS1 podrá emitir una alarma.

PRESTADOR 2

PRESTADOR 1

Documento

AS2 MDN

>30´ APERAK

SI


Diciembre 2012, v2


30


Paso 7 PS1 recibe el mensaje “APERAK” por parte de PS2 y analiza si el documento fue aceptado o rechazado. Si el documento fuese rechazado debido a la ocurrencia de errores durante la transmisión o bien, porque el destinatario del mismo no era PS2 o un Receptor con el cuál éste interactúe; PS1 deberá retransmitir el documento en un período máximo de 30 minutos desde que recibe el mensaje “APERAK”, retornando al Paso 4.

PRESTADOR 2


AS2 MDN

Rechazo?

APERAK

SI

Retransmisión Paso 4

Paso 8 Una vez que PS2 ha recibido el documento, debe notificar al Receptor la disponibilidad del mismo a través de los mecanismos establecidos previamente entre ambos, los cuales podrán ser: envío de mails, notificación en el portal de PS2, ERP del Receptor, entre otros. PS2 no deberá demorar más de 30 minutos desde que envió el mensaje “APERAK” de aceptación del documento PS1 hasta que notifica al Receptor la disponibilidad del mismo.

RECEPTOR

PRESTADOR 2 Notificación disponibilidad del mensaje (e-mail, portal, interface directa)

PRESTADOR 1 APERAK

>30´ SI Emitir alarma

Diciembre 2012, v2


31


Paso 9 Una vez notificado el Receptor, PS2 le envía a PS1 un mensaje “CONTRL”, indicando que el documento se puso a disposición del Receptor. PS1 deberá recibir este mensaje en un lapso de no más de 2 horas a partir del momento en que efectuó la transmisión del documento hacia PS2 (Paso 4), o de no más de 1 hora a partir del momento en que PS1 recibió el mensaje “APERAK” de PS2 indicando la aceptación del documento (Paso 6). En caso de que alguna de las condiciones no se cumplan, PS1 deberá emitir una alarma.

RECEPTOR

PRESTADOR 2



AS2 MDN APERAK

>2 hs >1 h

CONTRL

OR

Emitir alarma

Diciembre 2012, v2


32


A partir del Paso 10 los mensajes serán intercambiados de forma optativa, según lo establezcan el acuerdo entre Emisores, Receptores y Prestadores de Servicio.

Paso 10 En el momento en que PS2 detecta que el Receptor levantó el documento, PS2 podrá enviar un mensaje “CONTROL” a PS1 notificando esta situación. No deberían transcurrir más de 30 minutos entre que el Receptor levanta el documento, y PS2 notifica a PS1 de esta situación.

RECEPTOR

PRESTADOR 2

PRESTADOR 1

Notificación

Documento CONTRL

<30´


Paso 11 Una vez que PS1 recibe el mensaje “CONTRL” por parte de PS2 indicando que el Receptor levantó el documento, PS1 debería notificar al Emisor. A fines de notificar al Emisor, PS1 le envía un nuevo mensaje “CONTRL”. No deberán transcurrir más de 30 minutos desde que PS1 recibió el mensaje de “CONTRL” por parte de PS2 hasta que PS1 notifica al Emisor que el documento fue levantado por el Receptor.

PRESTADOR 2

PRESTADOR 1

EMISOR

CONTRL

CONTRL

<30´

Diciembre 2012, v2


33


Paso 12 Una vez que recibe el documento, el Receptor deberá tener la posibilidad de enviar un mensaje “CONTRL” a PS2 para indicar la recepción del mismo. El plazo que posee el Receptor para enviar este mensaje deberá responder a los tiempos acordados con el Emisor.

RECEPTOR

PRESTADOR 2 Notificación

Documento

CONTRL


Paso 13 PS2, luego de recibir el mensaje “CONTRL” con la confirmación de recepción del documento por parte del Receptor, deberá enviarlo a PS1 en un tiempo máximo de 30 minutos.

RECEPTOR

PRESTADOR 2

PRESTADOR 1

CONTRL

CONTRL

<30´

Diciembre 2012, v2


34


Paso 14 Finalmente, una vez que PS1 recibe el mensaje “CONTRL” desde PS2, debería reenviarlo al Emisor notificándole la confirmación de recepción del documento por parte del Receptor. PS1 debería transmitir el documento al Emisor en un lapso inferior a 30 minutos.

PRESTADOR 2

PRESTADOR 1

EMISOR

CONTRL

CONTRL

SLA

<30´

El Emisor posteriormente evaluará si el tiempo de respuesta por parte del Receptor cumple con el nivel de servicio acordado previamente entre ellos.

Diciembre 2012, v2


35


Anexo III Estándares y documentos vigentes para homologar APERAK - Application error and acknowledgement message / EANCOM® 2002 S4 - Edition 2010 App Rec Ack - Application Receipt Acknowledgement / GS1 XML 2.6.0 CONTRL - Syntax and service report message / EANCOM® 2002 S4 - Edition 2010 DESADV - Despatch advice message / EANCOM® 2002 S4 - Edition 2010 Despatch Advice / GS1 XML 2.5.0 INVOIC - Invoice message / EANCOM® 2002 S4 - Edition 2008 Invoice / GS1 XML 2.6.0 ORDERS - Purchase order message / EANCOM® 2002 S4 - Edition 2008 Order / GS1 XML 2.5.0 ORDRSP - Purchase order response message / EANCOM® 2002 S4 - Edition 2008 Order Response / GS1 XML 2.5.0 RECADV - Receiving Advice message / EANCOM® 2002 S4 - Edition 2008 Receiving Advice / GS1 XML 2.5.0 REMADV - Remittance advice message / EANCOM® 2002 S4 - Edition 2010 Settlement / GS1 XML 2.3.0 RETANN - Announcement for returns message / EANCOM® 2002 S4 - Edition 2008 (La versión XML de RETANN se implementó localmente con Despatch Advice)

Los Prestadores de Servicios EDI, podrán sin embargo homologar otros documentos aquí no contemplados, así como nuevas versiones de los mencionados.

Diciembre 2012, v2


36


Anexo V Información del Prestador de Servicios EDI 1. Favor de completar:

Denominación Social: .................................................... ........................................................................................................................... CUIT: ...................................................................................................................................................................................................................... GLN: . ..................................................................................................................................................................................................................... Domicilio legal: . ............................................................................................................................................................................................. Localidad: .......................................................................................................................................................................................................... Provincia: . .......................................................................................................................................................................................................... País: . ...................................................................................................................................................................................................................... Código Postal: ................................................................................................................................................................................................. Teléfonos: .......................................................................................................................................................................................................... Fax: ........................................................................................................................................................................................................................ E-mail: . ................................................................................................................................................................................................................. Web: ......................................................................................................................................................................................................................

Presidente: ........................................................................................................................................................................................................ e-mail: ..................................................................................................................................................................................................................

Director o Gerente General: ................................................................................................................................................................... e-mail: ..................................................................................................................................................................................................................

Apoderado: ...................................................................................................................................................................................................... e-mail: ..................................................................................................................................................................................................................

Resp. / Gerente Comercial: ..................................................................................................................................................................... e-mail: ..................................................................................................................................................................................................................

Resp. / Gerente de Sistemas: ................................................................................................................................................................. e-mail: ..................................................................................................................................................................................................................

Otros: (Nombre y cargo): ........................................................................................................................................................................................ e-mail: ..................................................................................................................................................................................................................

(Nombre y cargo): ........................................................................................................................................................................................ e-mail: ..................................................................................................................................................................................................................

Diciembre 2012, v2


37


Carta de Adhesión Por la presente nos dirigimos a GS1 Argentina para manifestarle nuestro deseo de participar del vigente proceso de Homologación de Prestadores de Servicio EDI, prestando conformidad con todo lo expresado en el correspondiente Manual. Solicitamos efectuar en lo posible la Entrevista de Verificación en fecha específica a confirmar, durante la semana del .......... al .......... de ........................... del año ................

Fecha: ............................................................................................................................................. Empresa: .......................................................................................................................................

Firma: .............................................................................................................................................. Aclaración: ................................................................................................................................... DNI: .................................................................................................................................................. Cargo: .............................................................................................................................................

Diciembre 2012, v2


38


Anexo V Modelo de Informe Mensual Prestador Homologado VOLUMEN DE DOCUMENTOS EMITIDOS - AÑO 2012 Tipo documento

ENERO

FEBRERO

MARZO

ABRIL

MAYO

JUNIO

JULIO

AGOSTO

SEPTIEMBRE

OCTUBRE

NOVIEMBRE

DICIEMBRE

ORDERS ORDRSP DESADV RECADV INVOICE REMADV

Diciembre 2012, v2


39


Anexo VI Modelos de Constancias

VERIFIC ACIÓN DE DOCUMENTO EDI Por el presente avalamos que el Prestador de Servicio EDI: .................................................................................................................................................... Ciudad Autónoma de Buenos Aires, Argentina

ha cumplido exitosamente el Proceso de Verificación para el documento electrónico

Despatch Advice correspondiente al estándar GS1 EANCOM® 2002 – Syntax Version 4 – Edition 2008

Constancia Nº: xxx20120320001 (válida sólo si está vigente paralelamente la Homologación como Prestador de Servicio)

Fecha de Homologación: 20 de Marzo de 2012 Fecha de Caducidad: 19 de Marzo de 2013

Emitido por:

Este documento está sujeto a los términos y condiciones indicadas en el Manual para la Homologación de Prestadores de Servicios EDI La Homologación está condicionada a que se mantengan los cumplimientos evaluados en el Proceso respectivo.

Diciembre 2012, v2


40


CONSTANCIA DE HOMOLOGACION Por el presente avalamos que el Prestador de Servicio EDI: .................................................................................................................................................... Ciudad Autónoma de Buenos Aires, Argentina

ha cumplido exitosamente el Proceso de Verificación como

Prestador de Servicio EDI correspondiente a los requerimientos del

Manual de Homologación de Prestadores de Servicio EDI

Constancia Nº: xxx20120320001

Fecha de Homologación: 20 de Marzo de 2012 Fecha de Caducidad: 19 de Marzo de 2013

Emitido por:

Este documento está sujeto a los términos y condiciones indicadas en el Manual para la Homologación de Prestadores de Servicios EDI La Homologación está condicionada a que se mantengan los cumplimientos evaluados en el Proceso respectivo.

Diciembre 2012, v2


41


Fraga 1326 C1427BUB, Ciudad de Buenos Aires Argentina T (54-11) 4556 4700 F (54-11) 4556 4740 E [email protected] www.gs1.org.ar

Diciembre 2012, v2


42

Homologación Prestadores EDI - El lenguaje mundial de los

Recommend Documents