Questions fréquentes

Accès et données de contact

• Qu’est-ce qu’un « expéditeur » ?

  Un expéditeur est une entreprise ou une organisation qui effectue des échanges de données avec la sécurité sociale. Ces échanges s’opèrent par des canaux sécurisés, soit via des canaux batch (pour les transferts massifs), soit via des services web (pour des interactions plus dynamiques).

• Pourquoi dois-je créer un expéditeur ?

  C’est une étape indispensable ! La création d’un expéditeur est nécessaire pour tout échange de données avec les institutions de la sécurité sociale, que vous utilisiez un canal batch ou un service web.

• Où dois-je créer un expéditeur ?

  L’enregistrement de votre entité en tant qu’expéditeur se fait directement via le service en ligne Chaman.

• Qui peut accéder au service en ligne Chaman ?

  L’accès à la gestion d’un expéditeur est réservé à différents types d’utilisateurs au sein de votre entreprise :

  • Gestionnaire d’accès : l’accès est attribué automatiquement.
  • Gestionnaire de groupe : l’accès est également octroyé par défaut.
  • Utilisateur classique : il doit obligatoirement se voir attribuer la permission spécifique intitulée « Chaman - Gestion des canaux techniques ».
• Comment obtenir la permission pour un utilisateur classique ?

  Le droit « Chaman - Gestion des canaux techniques » doit être octroyé via le service en ligne « Gestion des accès » par un gestionnaire d’accès ou un gestionnaire de groupe.

• Que faire si je n’ai pas accès à Chaman ?

  Prenez contact avec un gestionnaire d’accès ou un gestionnaire de groupe au sein de votre entreprise. Il vous attribuera ce droit via le service en ligne « Gestion des accès ».

• Quelles sont les étapes pour créer un expéditeur dans Chaman ?

  Le processus est simple :

  1. Connectez-vous au service en ligne Chaman.
  2. Laissez-vous guider : lors de votre première connexion, le système vous proposera directement de créer votre expéditeur.
  3. Renseignez les données : fournissez les informations de contact d’un responsable technique (nom, e-mail, etc.) en remplissant les champs requis.
• Puis-je désigner plusieurs contacts pour créer un expéditeur ?

  Non. Pour garantir la bonne gestion et la sécurité des échanges, vous devez désigner une personne précise. Il s’agit d’un référent ou d’un responsable technique qui représente officiellement l’expéditeur pour ce rôle spécifique au sein de votre entreprise.

• Dois-je obligatoirement fournir des données de contact pour créer un expéditeur ?

  Oui. Elles sont essentielles pour deux raisons :

  • elles permettent d’identifier le responsable technique de l’expéditeur ;
  • elles garantissent la réception des communications importantes concernant les mises à jour et la gestion des canaux.
• Est-il possible de désigner plusieurs contacts par rôle ou d’enregistrer plusieurs adresses e-mail ?

  Non. Pour chaque rôle spécifique au sein de l’entreprise, une seule personne peut être assignée. De même, une seule adresse e-mail de contact est autorisée.

Intermédiaire technique et délégation (cette section est strictement réservée aux CPAS)

• Qu’est-ce qu’un « intermédiaire technique » ?

  Un intermédiaire technique est une entreprise de services numériques dont le rôle est d’assister d’autres entreprises dans la réalisation de leurs déclarations et de leurs transferts de fichiers vers le portail de la sécurité sociale.

• Quelles actions un intermédiaire technique peut-il effectuer dans Chaman ?

  L’intermédiaire technique dispose de plusieurs leviers pour gérer son accès et celui de ses clients :

  • délégation : il peut demander la gestion d’un compte REST via un système de délégation ;
  • validation : il peut accepter ou refuser une demande de délégation ;
  • relance : il est autorisé à relancer une délégation refusée (jusqu’à 20 fois maximum) ;
  • gestion des certificats : une fois la délégation acceptée, il gère les certificats pour le compte de l’expéditeur.
• Qu’est-ce qu’une délégation ?

  La délégation est un mécanisme clé qui permet à une entreprise de donner à son intermédiaire technique l’accès à un service REST du portail de la sécurité sociale. L’intermédiaire technique prend en charge :

  1. la gestion des certificats nécessaires à l’authentification ;
  2. la communication sécurisée avec le service REST.

  
  

  Grâce à ce mécanisme, il peut effectuer, au nom de l’entreprise, les déclarations et les transferts de fichiers.

• Qui peut initier une demande de délégation ?

  L’initiative peut venir des deux parties : l’entreprise elle-même ou l’intermédiaire technique.

• Mon entreprise peut-elle modifier les permissions d’un compte REST qu’elle a délégué ?

  Oui. Seule l’entreprise qui est détentrice du compte conserve le pouvoir de modifier ses permissions.

• Pourquoi ne puis-je pas visualiser les certificats d’un compte délégué ?

  Les certificats sont liés au compte de l’intermédiaire technique lui-même. Par conséquent, lui seul a les droits pour les visualiser.

• Que se passe-t-il en cas de refus de la demande de délégation ?

  Si l’entreprise refuse la demande de l’intermédiaire, l’intermédiaire technique peut relancer la demande jusqu’à 20 fois maximum. Au-delà de cette limite, il ne pourra plus émettre de nouvelle demande de délégation envers cette entreprise (identifiée par son numéro BCE et son rôle). Il devra alors contacter directement l’entreprise pour qu’elle initie elle-même la délégation.

  Si l’intermédiaire technique refuse la demande de l’entreprise : l’entreprise, contrairement à l’intermédiaire technique, peut relancer la demande autant de fois que nécessaire, sans aucune limite.

Comptes et connexions

• Puis-je avoir plusieurs comptes pour le même type de connexion ?

  Cela dépend du canal d’échange :

  • comptes FTP, SFTP ou SOAP : vous êtes limité à un seul compte par type.
  • comptes REST : oui, vous pouvez en créer plusieurs, que ce soit deux, trois ou plus, si vos besoins l’exigent.
• Quelles sont les règles de création pour un nom d’utilisateur FTP ou SFTP ?

  Les règles sont identiques pour les deux types de comptes :

  • utiliser uniquement des lettres (A-Z, a-z) et des chiffres (0-9) ;
  • contenir au minimum 8 caractères ;
  • contenir au maximum 17 caractères ;
  • aucun espace n’est autorisé.
• Quelles sont les règles de création pour un mot de passe FTP ?

  Pour un mot de passe FTP, le niveau de sécurité est élevé et nécessite le respect des contraintes suivantes :

  • taille maximale : 15 caractères ;
  • caractères spéciaux : le mot de passe doit comporter au minimum deux caractères non alphanumériques ;
  • sensibilité à la casse : la distinction entre majuscules et minuscules est prise en compte ;
  • interdit : aucun espace n’est autorisé ;
  • caractères spéciaux autorisés : , ; : = ? . [span_66](start_span)/ + * $ % > < & @ # ( ! { } ) - _
• Quelles sont les règles pour une clé publique SFTP ?

  La taille d’une clé publique SFTP doit être comprise entre 2048 et 4096 bits.

Certificats

• Comment ajouter un nouveau certificat ?

  Sur la page d’accueil de Chaman, cliquez sur l’icône en forme d’œil pour accéder aux détails du compte. L’action dépend ensuite du type de canal :

  • pour un compte FTP, SFTP ou SOAP : vous ne pouvez pas ajouter de certificat supplémentaire. Il est uniquement possible de remplacer l’existant.
  • pour un compte REST : le bouton « Ajouter un certificat » permet d’en insérer un nouveau sans supprimer le précédent. L’ajout multiple est autorisé.
• Quels types de certificats sont acceptés par Chaman ?

  Le type de certificat dépend du canal que vous utilisez :

  • FTP et SFTP : eID ou GlobalSign PersonalSign3 PRO.
  • SOAP : GlobalSign PersonalSign3 PRO.
  • REST : certificats non reconnus par une Autorité de Certification (CA) officielle (comme les certificats auto-signés) ou des certificats délivrés par un prestataire conforme.
• Quelles sont les tailles de clés et les algorithmes de signature supportés dans Chaman ?

  Pour les clés, les tailles suivantes sont acceptées par le service :

  • RSA : RSA-2048, RSA-3072, RSA-4096.
  • elliptique : P-384, P-521.

  
  

  Les algorithmes de signature valides sont :

  • SHA-256
  • SHA-384
  • SHA-512
• Quelles configurations spécifiques sont nécessaires pour un certificat auto-signé ?

  Lors de la création de votre certificat auto-signé (self-signed), vous devez impérativement inclure l’usage de clé (key usage) suivant : Digital Signature (1).

  Pour plus de détails, veuillez consulter la documentation officielle de la sécurité sociale sur la page Generating your self-signed certificate Nouvelle fenêtre.

Configuration du canal REST

• À quoi sert le canal REST dans Chaman ?

  Il s’agit du service en ligne qui vous permet d’activer et de configurer l’accès aux API REST de la sécurité sociale. Il est la porte d’entrée technique et sécurisée : sans son activation, aucune intégration ni communication n’est possible avec les services REST.

• Qui est autorisé à configurer le canal REST ?

  Seul le gestionnaire d’accès de l’entreprise (ou un gestionnaire technique désigné) peut procéder à cette configuration. L’intégrateur logiciel, même s’il maîtrise les aspects techniques, n’a pas la main pour effectuer cette opération.

• Quels sont les prérequis pour activer ce canal ?

  Vous devez satisfaire deux conditions avant de commencer :

  • votre entreprise doit posséder un certificat électronique valide ;
  • votre entreprise doit déjà être enregistrée sur le portail de la sécurité sociale.
• Comment activer le canal REST dans Chaman ?

  Vous devez vous connecter au service en ligne Chaman et suivre les étapes détaillées dans la documentation de référence, dans la section REST Channel Configuration in Chaman. Nouvelle fenêtre.

• Que doit vérifier l’intégrateur logiciel avant de commencer son travail ?

  L’intégrateur a la responsabilité de s’assurer que le gestionnaire d’accès (ou gestionnaire technique désigné) de l’entreprise a terminé la configuration dans Chaman avant de démarrer l’intégration technique.

• Que se passe-t-il si le canal REST n’est pas activé correctement ?

  L’activation est essentielle : si elle n’est pas effectuée correctement, tous les appels aux API REST échoueront systématiquement. L’entreprise ne sera pas reconnue comme autorisée à utiliser ces services.